Poly Network, la compañía de finanzas descentralizadas (DeFi) que ofreció en agosto de 2021 el puesto de seguridad al hacker que le había robado 613 millones de dólares, ha sufrido un nuevo hack. Esta vez, el vez el botín asciende a 42 mil millones de dólares, que es el valor de los tokens acuñados por quien ha perpetrado el hack. La empresa informó de la suspensión temporal de los servicios para dedicarse a recuperar los fondos comprometidos.
Poly Network hack
Poly Network es un popular protocolo DeFi que ofrece interoperabilidad en múltiples blockchains. Así, entre los pools vaciados por el hacker están los de Avalanche, Ethereum, BNB Chain, OKC, Optimism, Fantom, Gnosis Chain, HECO, Metis y Polygon.
Se trata del segundo gran hack sufrido por la plataforma. El 10 de agosto de 2021, los ladrones sustrajeron $ 613 millones en tokens digitales del protocolo, convirtiéndose en el mayor hackeo de criptomonedas de la historia. En esta ocasión, el botín es 68 veces más grande.
El ataque de 2021 se llevó a cabo aprovechando una vulnerabilidad en los contratos inteligentes de Poly Network. Los hackers lograron hacerse con el control de los puentes entre cadenas del protocolo, lo que les permitió transferir tokens entre distintas cadenas de bloques. El botín de 2021 contaba con una amplia variedad de tokens: ETH, BSC, USDT, DAI y BUSD. También robaron algunos tokens ERC-20, como AAVE, SNX y SUSHI.
Un día después del ataque, los hackers devolvieron todos los tokens robados y enviaron un mensaje al equipo de Poly Network explicando por qué habían pirateado el protocolo. Los hackers afirmaron que su motivación no era económica. Dijeron que intentaban «exponer la vulnerabilidad» de los contratos inteligentes de Poly Network. También dijeron que estaban «tratando de ayudar al equipo de Poly Network a mejorar su seguridad». Todo parece apuntar a que no aprendieron la lección.
Análisis post-mortem
El usuario @Dedaub en Twitter ha hecho público un análisis post-mortem del nuevo hackeo a Poly Network. Lo que se encuentra realmente da miedo. En primer lugar, @Dedaub indica que la seguridad de Poly Network para su multi-sig es pobre. Un simple esquema 3-de-4 (de 4 firmas, solo necesitan 3 para realizar operaciones) es todo lo que protege a los smart contracts de Poly Network. Así ha sido desde 2021.
Análisis de seguridad de Dedaub en Twitter
En la imagen se pueden ver (marcadas con X en rojo) las firmas comprometidas en este hackeo. Además, indica que el hackeo no explotó ningún fallo lógico en los smart contracts, apuntando a que fue un fallo de protección en las firmas el que permitió al hacker obtenerlas y utilizarlas para el evento.
Ganancias para el hacker
La ganancia directa por este ataque es de unos 5,5 millones de dólares. Sin embargo, a esto se debe sumar el minteo de casi 100 millones en BNB usando la plataforma Metis y el minteode 10 billones en BUSD, todo ello en tokens inexistentes. Aunque la acción del hacker ha involucrado a este servicio, los fondos en Metis están seguros.
Emisión de 100 millones de BNB en Metis por parte del hacker
En total, el hacker ha emitido unos 42 mil millones de dólares usando como palanca su ataque sobre Poly Network. De dichos fondos, el hacker ha sacado una parte a distintas direcciones y con diferentes tokens. Esto puede verse siguiendo el monedero del hacker utilizando el servicio de DeBank.
Wallet del hacker y sus tenencias, rastreadas por el servicio DeBank
En EigenPhi también se pueden seguir las operaciones realizadas por el hacker.
¿Qué podemos aprender del pirateo de Poly Network?
Hay varias lecciones que podemos aprender del pirateo de Poly Network. En primer lugar, ser conscientes de los riesgos asociados a la inversión en criptomonedas. Los proyectos de criptomonedas son todavía relativamente nuevos y no están regulados como los mercados financieros tradicionales. Esto significa que existe un mayor riesgo de fraude y robo en el espacio de las criptomonedas.
En segundo lugar, debemos tener cuidado con los proyectos en los que invertimos. Hay que investigar antes de invertir en un proyecto de criptomoneda y asegurarse de que el proyecto cuenta con un equipo fuerte y un plan de seguridad sólido.
En tercer lugar, debemos estar preparados para lo inesperado. El mercado de las criptomonedas es volátil y siempre existe el riesgo de que se produzcan hackeos y otros fallos de seguridad. Por ello, hay que prepararse para perder parte o la totalidad de la inversión.
El hackeo de Poly Network deja muy claro que existe un grave fallo de seguridad y de manejo de la infraestructura del protocolo. Los movimientos del hacker indican que el ataque no es como el de 2021. Ahora estamos frente a un verdadero hacker con pensamientos maliciosos y difícilmente este dinero pueda recuperarse. Todo apunta a que Poly Network tendrá que hacer frente a las consecuencias en su totalidad y responder a los usuarios por sus pérdidas, además de mejorar su seguridad.
Fuente: Nuevo hack en Poly Network: acuñan $42.000 millones en tokens (observatorioblockchain.com)