No fim de semana, o projeto Poly Network DeFi passou por um hack sério, durante o qual o invasor conseguiu gerar bilhões de criptomoedas do nada em diferentes blockchains.
O hacker explorou uma vulnerabilidade no protocolo de ponte criando ativos criptográficos BUSD, BNB e SHIB em vários blockchains. Especificamente, os hackers geraram 24 bilhões de BUSD e BNB na Metis e 999 trilhões de SHIB na Heco. A equipe da Poly Network esclareceu posteriormente que a exploração afetou 57 criptoativos em 10 blockchains, incluindo Ethereum, BNB Chain, Polygon, Avalanche, Heco e Metis. O lucro estimado do hacker com o hack varia de US$ 400.000 a US$ 4 milhões.
No domingo, 2 de julho, a plataforma suspendeu o atendimento ao usuário. A gerência da Poly Network disse que recorreu a trocas centralizadas e à aplicação da lei para obter ajuda. Os especialistas da plataforma recomendaram que os detentores de criptomoeda retirem liquidez e desbloqueiem tokens LP fornecidos pelos usuários.
Um analista de segurança para projetos DeFi usando o pseudônimo 0xArhat no Twitter twittou que a exploração resultou de uma vulnerabilidade de contrato inteligente. Isso permitiu que o hacker criasse um parâmetro malicioso com uma assinatura falsa do validador e um cabeçalho de bloqueio. O contrato inteligente aceitou esse parâmetro e o hacker conseguiu contornar o processo de verificação, após o qual começou a emitir tokens do pool de ether da Poly Network e enviá-los para seu endereço nas blockchains Metis, BNB Chain e Polygon.
Este procedimento foi repetido várias vezes, o que possibilitou acumular uma grande quantidade de criptoativos. Segundo o analista, em algum momento a carteira do hacker acumulou cerca de US$ 42 bilhões em criptoativos, mas o invasor conseguiu vender apenas parte deles, devido à demanda limitada do mercado.
Esta não é a primeira vez que a Poly Network enfrenta um grande ataque. A plataforma perdeu cerca de US$ 611 milhões em agosto de 2021. No entanto, no mesmo mês, o hacker devolveu todos os criptoativos roubados. Após esse hack, a Poly Network, juntamente com a plataforma Immunefi, lançou um programa de descoberta de vulnerabilidades.