正体不明のハッカーが、中国に拠点を置く分散型金融(DeFi)プラットフォームであるPoly Networkから600億円=6億ドル以上の暗号通貨が盗み出されたことがわかりました。
Poly Networkは、異なるブロックチェーン間で暗号通貨資産を取引する機能をユーザーに提供しており、Poly Networkは”コントラクト “と呼ばれるスクリプトを使用してこれらの取引を実行しています。
8月10日(木)、正体不明の人物がPoly Networkのプラットフォームから彼らの暗号通貨のアドレスに資金を移動させ始めました。
攻撃が行われた経緯
Poly Networkの広報担当者は「ハッカーは、コントラクトの呼び出しの間にある_executeCrossChainTx関数という脆弱性を悪用しました。攻撃者はこの関数を使用してデータを渡し、EthCrossChainDataコントラクトの所有者を変更しました」と同社はコメントしています。
ハッカーは、攻撃を受けたコントラクトを繰り返し呼び出すことで、Poly Networkから資金を流出させ、攻撃者のウォレットに資金を移動させることができました。
ハッキング当時、Poly Networkは盗まれた資金は600億円=6億ドル以上の価値があると述べており、これまでに暗号通貨取引プラットフォームに対して行われた最大のハッキングとなりました。
Poly Networkはハッカーに盗まれた資金の返還を依頼
攻撃が発見されると、Poly Networkは事件を公開し、暗号通貨コミュニティに助けを求め、マイニングプラットフォームや取引所にハッカーの動きを追跡し、アカウントを凍結するように依頼しました。
ツイッターでは、Huobi、Tether、OKEx、Binanceなどの企業が、盗まれた資産の一部を凍結することができましたが、ほんの一部にすぎないと述べています。
一方、Poly Networkは、そのTwitterで公開書簡を発表し、事件がエスカレートする前に資金を返還するようハッカーに求めています。
ハッカーは過去に、起訴を避けるために盗んだ資金を暗号通貨プラットフォームに返却したことがありますが、同社の手紙はその甘さから嘲笑され、Twitterのトレンドトピックになりました。
ハッカーは盗んだ資金のうち210億円=210万ドルを返還しましたが、残りを返還するかどうかはまだ不明です。
また、ハッカーはイーサリアム取引のコメント欄を利用して公開メッセージを投稿したり、さまざまな人物と会話を交わしたりしており、その中で「Poly Networkの人気のないアルトコインを移動させていれば、今回の侵害はもっと大きなものになっていたかもしれない」と明かしています。
Poly Networkは、数日のうちにTwitterアカウントを通じてハッキングに関する情報をユーザーに提供する予定だと述べており、暗号通貨セキュリティ企業のSlowMistが投稿したハッキングに関する独立したレビューの有効性を確認しました。
別のPoly Networkのハッキング分析は、以下のTwitterスレッドでも確認できます。
Comments