La red Poly Network insta a usuarios a retirar su dinero después de que un exploit afectara a 57 criptoactivos

　　Martin Young

　　hace 28 minutos

　　La red Poly Network insta a usuarios a retirar su dinero después de que un exploit afectara a 57 criptoactivos

　　La red Poly Network ha vuelto a sufrir un ataque, esta vez debido a claves privadas comprometidas, según la empresa de seguridad blockchain Dedaub.

　　Cada vez se conocen más detalles del ataque del 2 de julio a la plataforma de cross-chain Poly Network, mediante el que un hacker pudo emitir miles de millones de tokens de la nada con fines lucrativos.

　　En un tuit del 2 de julio, Poly Network confirmó que se había convertido en la última víctima de un ataque DeFi después de que los atacantes consiguieran manipular una función de contrato inteligente en el protocolo cross-chain, y añadió que suspendería temporalmente sus servicios.

　　En la actualización más reciente, el equipo reveló que el exploit afectó a 57 criptoactivos en 10 blockchains, incluyendo Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX y Metis.

　　No se especificó cuánto se robó en el ataque, pero PeckShield informó anteriormente que el explotador había transferido criptomonedas valoradas en al menos USD 5 millones.

　　“Ya hemos iniciado la comunicación con los exchanges centralizados y los organismos encargados de hacer cumplir la ley y hemos solicitado su ayuda”, declaró el equipo en una actualización del 3 de julio.

　　También aconsejó a los equipos de proyectos y a los holders de tokens que retiraran la liquidez y desbloquearan sus tokens de proveedores de liquidez.

　　Desglose del hakeo de “34,000 millones” de Poly Network

　　El analista de seguridad de DeFi Arhat dijo que el exploit fue el resultado de una vulnerabilidad de un contrato inteligente que permitió al hacker “elaborar un parámetro malicioso que contenía una firma validadora falsa y un encabezado de bloque”.

　　Este parámetro fue aceptado por el contrato inteligente, lo que le permitió al hacker eludir el proceso de verificación y emitir tokens del fondo de Ethereum de Poly Network a su propia dirección en otras cadenas, como Metis, BNB Chain y Polygon.

　　El proceso se repitió en otras cadenas, lo que permitió acumular tokens.

　　En un momento dado, el monedero del hacker contenía tokens valorados en unos USD 42,000 millones, pero sólo pudo convertir y robar una fracción de ellos, afirma el analista.

　　“De esta forma, el hacker pudo acuñar miles de millones de tokens en varias blockchains que antes no existían y transferirlos a sus propias direcciones de monedero.”

　　El proveedor de soluciones de seguridad de blockchain Dedaub bautizó el último exploit de Poly Network como el “hackeo de 34,000 millones de Poly Network.”

　　Getting to the bottom of the “34 billion” Poly network hack with a technical postmortem.

　　Llegando al fondo del hackeo de “34,000 millones” de la Poly Network con una autopsia técnica. TL ; DR. ¡La red Poly tuvo un simple arreglo multisig 3 de 4 durante 2 años! Al ver el evento final, encontramos que las claves privadas de las direcciones marcadas estaban comprometidas.

　　Dedaub señaló debilidades en el multisig del protocolo, afirmando que tenía un simple arreglo de multisig “3 de 4” durante dos años, y agregó:

　　“Al ver el evento final, encontramos que las claves privadas de las direcciones marcadas estaban comprometidas.”

　　Dedaub explicó que el ataque no fue complejo, ya que no se explotaron fallos lógicos. Añadió que Poly Network tardó siete horas en responder, lo que le costó a la plataforma USD 5.5 millones en criptomonedas robadas. Por suerte, la falta de liquidez en muchos de los tokens evitó mayores pérdidas.

　　Tras el ataque, el CEO de Binance, Changpeng Zhao tranquilizó a los clientes, afirmando que “Esto no afecta a los usuarios de Binance. No admitimos depósitos desde esta red”.

　　Poly Network got rekt again; allegedly because of compromised hot keys.

　　It's going to keep happening untill our industry changes our approach to security.

　　Poly Network ha vuelto a ser atacada, supuestamente por culpa de unas hot keys comprometidas. Esto seguirá ocurriendo hasta que nuestra industria cambie su enfoque de la seguridad. Las auditorías de contratos inteligentes sólo arañan la superficie. Posdata: Poly network no tiene NADA que ver con Polygon.

　　Cointelegraph se puso en contacto con Poly Network para obtener más detalles, pero no recibió respuesta antes de la publicación de este artículo.

　　En agosto de 2021, Poly Network sufrió uno de los mayores ataques de la historia del sector. Los hackers, que más tarde se reveló que estaban vinculados al colectivo de hackers norcoreano Lazarus Group, robaron más de USD 600 millones.

　　Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.