Криптосвіт знову здригнувся від масштабного інциденту у сфері кібербезпеки. Популярна децентралізована платформа Poly Network, яка виступає міжмережевим мостом (cross-chain) для обміну активами між різними блокчейнами, зазнала нищівного злому. Кіберзлочинці скористалися вразливостями в архітектурі смарт-контрактів та буквально «надрукували з повітря» криптовалюту загальною номінальною вартістю у десятки мільярдів доларів.
Слабкі місця крос-чейн мосту
Представники Poly Network підтвердили факт атаки, опублікувавши офіційну технічну заяву. Хакери змогли скомпрометувати логіку смарт-контракту, що регулює передачу активів між мережами. Це дозволило їм випустити неіснуючі токени на 57 різних криптоактивів у 10 незалежних блокчейнах, серед яких:
- Ethereum та BNB Chain;
- Polygon та Avalanche;
- Heco, OKX і Metis.
Паперове багатство на 42 мільярди доларів
Специфіка злому полягає в тому, що хакери випустили величезний обсяг монет, який за поточним курсом оцінювався у астрономічні 42 мільярди доларів. Проте реальний фінансовий збиток виявився набагато меншим.
Поглянемо на структуру та обсяги фальшивої емісії:
| Криптовалюта (Токен) | Мережа блокчейну | Обсяг фальшивого випуску | Реальна можливість виведення |
|---|---|---|---|
| BUSD (стейблкоїн) | Різні мережі | Понад 10 мільярдів доларів | Неможливо: токени заблоковані емітентом; відсутня ліквідність у пулах |
| BNB | BNB Chain | Близько 100 мільйонів доларів | Вкрай обмежена: транзакції швидко зупинили системи безпеки бірж |
| Shiba Inu (SHIB) | Heco | Майже 100 трильйонів токенів | Неможливо: у мережі просто немає реальних грошей для викупу такого обсягу монет |
Оскільки ліквідність у торгових парах з цими токенами була мізерною, хакери змогли обміняти на реальні гроші (ефір або USDT) лише мізерну частину від намальованого багатства. Ринок просто проігнорував пропозицію гігантського обсягу «сміттєвих» активів.
Повторення минулих помилок
Це не перший випадок компрометації протоколу Poly Network. У 2021 році платформа пережила один з найбільших зломів в історії DeFi, коли хакер вивів 600 мільйонів доларів. Тоді історія завершилася хепі-ендом: зловмисник, якого преса охрестила «Містером Вайт Хет», добровільно повернув усі кошти назад в обмін на винагороду від адміністрації проекту та пропозицію посади головного консультанта з безпеки. Новий інцидент доводить, що належних уроків із минулої помилки керівники платформи так і не винесли.
Підсумок
Криптоплатформа Poly Network стала жертвою великого хакерського злому, під час якого зловмисники згенерували 57 видів токенів у 10 блокчейнах на загальну номінальну суму близько $42 млрд. Серед фальшивих монет опинилися $10 млрд у BUSD, $100 млн у BNB та 100 трлн мем-коїнів Shiba Inu. Хакерам вдалося вивести лише невелику суму через відсутність ліквідності на ринку для викупу таких обсягів. Це другий великий злом платформи після крадіжки $600 млн у 2021 році, яку зловмисник згодом добровільно повернув.
