Brutte notizie per il bridge Poly Network, vittima di un hack avvenuto ieri mattina che ha portato un soggetto malintenzionato a mintare ben 44 miliardi di dollari in BUSD, BNB e SHIB.
Per la piattaforma si tratta del secondo incidente di percorso in 2 anni: nel 2021 era stata colpita da un furto delle dimensioni di 600 milioni di dollari.
Sebbene però in questo caso l’ammontare dell’hack sia decisamente più grande, la quantità di crypto realmente vendute è stata di gran lunga inferiore, visto che l’attaccante non è stato in grado di monetizzare il colpo a causa dell’assenza di liquidità su alcune blockchain.
Vediamo insieme tutti i dettagli.
Summary
L’hack di Poly Network: mintate criptovalute per 44 miliardi di dollari
Domenica 2 luglio il bridge Poly Network, piattaforma che permette interoperabilità reti blockchain differenti, è stato hackerato costringendo il team a bloccare temporaneamente i propri servizi.
Si tratta del secondo caso di violazione del protocollo, dopo che nel 2021 era stato compromesso per 600 milioni di dollari.
In questo caso le criptovalute compromesse ammontano ad un controvalore complessivo di ben 42 MILIARDI di dollari.
L’attaccante in questione, ancora sconosciuto, è riuscito a sfruttare una vulnerabilità dello smart contract delle piattaforma che gli ha permesso di mintare token illimitati dal pool di Poly Network.
In ambito tecnico, secondo quanto riferito da un esperto di crittografia e web3, l’hacker ha manipolato una funzione che gli ha permesso di “creare un parametro dannoso contenente una falsa firma del validatore e un’intestazione di blocco”.
Nel dettaglio sono stati coniati circa 100 milioni di BNB e e 10 miliardi di BUSD sulla blockchain Metis, e 999 trilioni di SHIB sulla rete Heco, oltre a numerosi altri token minori come COW, COOK, OOE, STACK e GM su Polygon, Avalanche, Bnb Chain e Okx chain.
A primo impatto, si potrebbe dire che questo rappresenta l’hack più grande nella storia delle crypto, essendo stata mintata una cifra davvero sbalorditiva.
A dire il vero però, l’attaccante è riuscito a monetizzare solamente 5 milioni di dollari, a causa dell’assenza di liquidità sui network che sono stati colpiti.
Infatti senza una pool dove poter convertire le criptovalute mintate, l’individuo si è trovato con una incredibile quantità di monete senza alcun valore!
Questo poiché il team di Poly Network, a seguito dell’imbarazzante incidente, si è subito movimentato per avvertire le società di analisi on-chain ed i principali progetti crypto, che hanno bloccato i rubinetti di liquidità sulle per gli asset e le reti colpite.
In totale l’exploit ha interessato 57 asset differenti, ma quelli che sono stati realmente venduti sono stati solo una ventina, escludendo le quantità miliardarie in BUSD, BNB e SHIB.
È buffo vedere come i 99 milioni di BNB che sono stati coniati dall’exploiter e trasferiti in un secondo indirizzo, dovrebbero valere sulla carta 24,8 miliardi di dollari ma in realtà non valgono nulla.
La liquidità è tutto: per l’hacker monetizzare il furto è diventato impossibile
Il caso dell’hack del bridge Poly Network è esplicativo del significato della frase “la liquidità è tutto” che spesso si sente risuonare quando si parla di protocolli decentralizzati della DeFi.
Mentre nell’hack del 2021 della stessa piattaforma, in cui il gruppo nordcoreano Lazarus è riuscito a scappare con un bottino di 600 milioni di dollari, in questo caso la mancanza di liquidità è stata cruciale per impedire una svendita di massa di molteplici criptovalute.
Poche ore dopo l’incidente infatti, tutte le infrastrutture colpite si sono mosse per minimizzare l’impatto dell’hack, chiudendo le pool di liquidità dove l’attaccante avrebbe potuto convertire le monete mintate dal nulla.
Il team della blockchain di Metis ha immediatamente rassicurato la propria community e quella dei Binanciani che sulla propria rete non c’era abbastanza liquidità per vendere BNB e BUSD, che rappresentavano le cripto più a rischio sell-off.
Inoltre anche Changpeng Zhao stesso, fondatore dell’exchange di scambio crypto, ha affermato in modo tempestivo che l’incidente non avrebbe danneggiato BNB e BUSD, visto che Binance non accetta depositi su network Metis.
Senza una pool decentralizzata dove poter swappare i fondi coniati, e senza un exchange di appoggio dove poterli tradare, questi asset rimangono senza valore.
In linea generale quando accadono hack del genere, in cui vengono compromessi asset per cifre miliardarie, la cooperazione delle principali infrastrutture centralizzate è fondamentale per impedire conseguenze disastrose.
Mentre i rubinetti di liquidità rimangono vuoti, le autorità di vigilanza e le società di tracking on-chain cercano di risalire all’identità dell’individuo che è fuggito con 5 milioni di dollari in tasca.
Sebbene infatti non ci siano state conseguenze gravi, rimane comunque questo un danno alla community crypto, che non può più utilizzare determinate pool ed utilizzare alcuni servizi di interoperabilità.
In attesa di scoprire nuovi inediti su questa interessante storia non ci resta che complimentarci con il team di Poly Network, che è riuscito a farsi hackerare due volte nell’arco di due anni, dimostrando incompetenza nelle attività svolte.
La questione apre un dibattito molto interessante sulla natura dei bridge, molto utili per muoversi da una blockchain all’altra ma estremamente vulnerabili nonché luogo preferito dei pirati crittografici che dal 2017 hanno rubato ben 2,5 miliardi di dollari da questo genere di piattaforme.
Il commento dell’esperto sull’hacking delle criptovalute
Anatoly Makosov, Core Developer presso la TON Foundation:
“I trasferimenti di valore tra diverse blockchain sono utili e richiesti. La maggior parte delle blockchain utilizza bridge di trasferimento tra catene gestiti da oracoli intermediari. Questo di solito fornisce un livello accettabile di sicurezza del bridge, ma c’è sempre la possibilità teorica che gli oracoli possano essere violati. L’exploit di Poly Network dimostra ulteriormente la necessità di rimanere in un perenne stato di vigilanza.
In The Open Network (TON) ci sforziamo di rendere la nostra tecnologia quanto più infallibile e decentralizzata possibile. I nostri oracle bridge sono una blockchain proof-of-stake su scala ridotta, gestiamo costantemente programmi di bug bounty e abbiamo revisioni da parte di team di sicurezza leader come CertiK, Hexens, Quanstamp e Trail of bits. Abbiamo inoltre dedicato una quantità significativa di risorse e di tempo allo sviluppo di soluzioni che funzionano interamente su smart contract senza intermediari. Abbiamo ottenuto risultati significativi in questo senso e al termine dei lavori prevediamo di migrare le nostre attuali soluzioni cross-chain verso questa tecnologia.”
