Nền tảng tài chính phi tập trung (DeFi) Poly Network đã bị tin tặc bẻ khóa bảo mật và tấn công, gây ra thiệt hại lên tới hơn 600 triệu USD.
Poly Network là một nền tảng cho phép hoán đổi token giữa các chuỗi blockchain với nhau, bao gồm Bitcoin, Ethereum và Ontology. Nó được thành lập bởi một liên minh giữa các nhóm đã tạo ra những nền tảng liên kết blockchain, bao gồm Neo, Ontology và Switcheo.
Số tài sản bị đánh cắp bao gồm 273 triệu USD token Ethereum, 253 triệu USD token trên Binance Smart Chain và 85 triệu USD bằng token USDC trên mạng lưới Poly.
Tether cho biết họ đã đóng băng khoảng 33 triệu USDT trên ETH. Nhờ vậy, hacker đã thất bại khi cố gắng chuyển số USDT đó vào nhóm thanh khoản Curve.fi.
BSC cho biết, nền tảng này đang làm việc với đối tác để hỗ trợ cuộc điều tra, bởi BSC là nền tảng phi tập trung nên không thể kiểm soát hoàn toàn những gì xảy ra trên chuỗi khối. Người này cũng cảnh báo người dùng và các ứng dụng đang chạy trên nền tảng tăng cường bảo mật và cảnh giác trước các cầu nối kém tin cậy. Đáng tiếc hacker đã chuyển thành công gần số coin trị giá 100 triệu USD từ tài khoản BSC sang nhóm thanh khoản phi tập trung Ellipsis Finance.
Vụ tấn công cũng ảnh hưởng đến các nền tảng sử dụng giao thức này. Nhóm giao dịch O3 thông báo tạm ngưng tính năng trao đổi chéo trong khi chờ thông tin từ đội ngũ Poly Network.
Thông báo của Poly Network
Theo nhận định của BlockSec, tập đoàn bảo mật blockchain trụ sở tại Trung Quốc, vụ hack có thể bắt đầu từ việc khóa riêng tư dùng để ký xác nhận giao dịch xuyên chuỗi bị lộ ra ngoài. Một khả năng khác là quy trình xác nhận giao dịch của Poly chứa bug.
Tập đoàn bảo mật blockchain SlowMist tuyên bố đã tìm ra được địa chỉ email, IP và device fingerprint (dữ liệu sử dụng thiết bị). Tập đoàn cho biết hacker ban đầu sở hữu monero (XMR), sau trao đổi lấy BNB, ETH và MATIC để lập quỹ phục vụ cuộc tấn công.
"Dựa trên dòng chảy của tiền trong quỹ và nhiều thông tin sử dụng khác, có thể nói đây là một cuộc tấn công được chuẩn bị trong thời gian dài, có tổ chức và sự chuẩn bị tốt", SlowMist cho biết.
Poly Network đã đăng các địa chỉ trực tuyến được tin tặc sử dụng và kêu gọi những “thợ đào tiền điện tử” của những sàn giao dịch tiền ảo và blockchain bị ảnh hưởng cho các token đến từ những địa chỉ nói trên vào danh sách đen.
Theo công ty phân tích blockchain CipherTrace, trong bốn tháng đầu năm 2021, các nhóm tội phạm tiền điện tử đã đánh cắp 432 triệu USD. Đáng chú ý, 60% số tiền bị mất, tương đương 240 triệu USD, liên quan đến tội phạm tài chính phi tập trung (DeFi), một hình thức tài chính dựa trên blockchain, không phụ thuộc vào các bên trung gian như người môi giới, sàn giao dịch hoặc ngân hàng để cung cấp các công cụ tài chính truyền thống.