El protocolo de interoperabilidad PolyNetwork ha sido ha sido hackeado con una pérdidas por de más de 600 millones de dólares en el mayor hackeo de DeFi hasta la fecha. El protocolo cross-chain Poly Network ha sido explotado en Binance Smart Chain, Polygon y Ethereum. Los autores han establecido un récord dentro del espacio de las finanzas descentralizadas, al birlar más 611 millones de dólares de al menos tres direcciones de monederos. Según ha informado la plataforma a través de Twitter, el hacker «ha aprovechado una vulnerabilidad entre llamadas de contratos». Si aún no sabes en qué consisten las llamadas defi o finanzas descentralziadas, te recomendamos nuestro artículo especial de Café con Criptos sobre el ecosistema DeFi.
Actualización: tras devolver todos los fondos robados, el hacker, denominado por la comunidad White Hat Hacker, se ha negado a aceptar una recompensa de medio millón de dólares en agradecimiento por haber devuelto el dinero. «No me interesa el dinero», ha declarado en un Q&A donde ha especificado que lo único que le mueve es mejorar la seguridad de las redes blockchain y DeFi. «Dinero no me falta», ha añadido.
Poly Network sufre un hackeo histórico
Poly Network es un protocolo de finanzas descentralizadas lanzado por el fundador del proyecto chino de blockchain Neo, que opera en las blockchains Binance Smart Chain, Ethereum y Polygon.
Así lo ha anunciado Poly Network a través de Twitter: «Lamentamos anunciar que #PolyNetwork fue atacado en @BinanceChain @ethereum y @0xPolygon», tuiteó hoy Poly Network, añadiendo: «Pedimos a los mineros de las blockchain y criptointercambios afectados que pongan en la lista negra los tokens procedentes de las direcciones mencionadas.»
https://twitter.com/PolyNetwork2/status/1425073987164381196
¿Qué es Poly Network?
Poly Network es un protocolo para intercambiar tokens a través de múltiples blockchains, incluyendo Bitcoin, Ethereum y Ontology. Fue formado por una alianza entre los equipos detrás de múltiples plataformas de blockchain, a saber, Neo, Ontology y Switcheo.
Según Igor Igamberdiev, de The Block Research, la causa del hackeo fue un problema de criptografía, algo que no suele ocurrir. Es posible que haya sido similar a la vulnerabilidad de Anyswap, en la que se robaron 7,9 millones de dólares debido a que un hacker invirtió la clave privada.
El hackeo también ha tenido implicaciones más amplias. Como resultado de ello, O3, un fondo de comercio que utiliza Poly Network para intercambiar tokens entre diferentes blockchains, ha tenido que suspender su funcionalidad de cadena cruzada.
Cuánto Ethereum, BSC y USD le han robado a Poly Network
Los activos robados fueron 273 millones de dólares en tokens de Ethereum, 253 millones de dólares en tokens en Binance Smart Chain y 85 millones de dólares en USDC en la red Polygon.
Desde el robo, Tether ha puesto en la lista negra los USDT en Ethereum que han sido robados en el ataque, aproximadamente 33 millones de dólares en tokens. Esto significa que ya no se pueden mover. (USDT es una stablecoin centralizada que puede ser congelada a voluntad por la empresa que está detrás, de forma similar a otras stablecoins como USDC).
DeFi: todo lo que debes saber de la revolución de las finanzas descentralizadas
Tras la inclusión en la lista negra, un usuario de criptomonedas envió una transacción a una de las direcciones que contenían los fondos robados para decirle al hacker que no utilizara USDT porque había sido incluido en la lista negra. En respuesta, el hacker envió 13,37 ETH (42.000 dólares) al usuario por la información. Nótese que la cifra no es casual (1337 a.k.a leet).
Tras el hackeo, el CEO de la bolsa de criptomonedas Binance, Changpeng Zhao, tuiteó: «Estamos al tanto del exploit [poly.network] que ha ocurrido hoy. Aunque nadie controla BSC (o ETH), estamos coordinando con todos nuestros socios de seguridad para ayudar proactivamente. No hay garantías. Haremos todo lo que podamos».
Rastreando al atacante
La empresa de seguridad de blockchain SlowMist ha enviado una alerta de noticias que dice que ya han rastreado la identificación del atacante. Afirma conocer su dirección de correo electrónico, la información de la IP y la huella digital del dispositivo. La firma dijo que los fondos originales del atacante estaban en monero (XMR), que se intercambiaron por BNB, ETH y MATIC y otros tokens que se utilizaron para financiar el ataque.
SlowMist dijo que esta información se obtuvo a través de su socio chino de criptointercambio Hoo, además de otros intercambios. Otros usuarios de criptomonedas han afirmado que los fondos utilizados para el ataque se originaron en el intercambio Hoo.
El CTO de SlowMist, que es conocido como «Blue», ha declarado lo siguiente: «Le dijimos [a Poly Network/O3] que tenemos alguna información sobre el hacker, si la necesitan la compartiremos con ellos». Añadió que espera un «final feliz» para la saga.
Otros detectives de las criptomonedas se han dado cuenta de que algunas de las carteras del hacker muestran mucha actividad DeFi. Señalan que las carteras han tenido muchas interacciones con intercambios centralizados, incluyendo FTX, Binance y OKEx, donde el hacker puede haber sido sometido a medidas de KYC.
El hacker de Poly Network envía un mensaje troll
A continuación, el hacker envió una transacción desde uno de los monederos que contenía los fondos robados de vuelta al mismo monedero. Incluía un mensaje que decía:
«¡HABRÍA SIDO UN HACK DE MIL MILLONES SI HUBIERA MOVIDO LAS MILLAS RESTANTES! ¿ACABO DE SALVAR EL PROYECTO? NO ME INTERESA TANTO EL DINERO, AHORA ESTOY CONSIDERANDO DEVOLVER ALGUNOS TOKENS O SIMPLEMENTE DEJARLOS AQUÍ».
Poly Network se dirige al hacker
El último tweet de Poly Netork ha sido una carta en la que, bajo el encabezado «querido Hacker…», le pide amablemente al atacante que devuelta el dinero robado. Te la traducimos:
Querido hacker, somos el equipo de Poly Network. Queremos establecer comunicación contigo y urgirte a que devuelvas los bienes hackeados. La cantidad de dinero que has hackeado es la más grande de la historia del defi (finanzas descentralizadas). La aplicación de la ley en cualquier país verá esto como un crimen económico mayúsculo y serás perseguido. Sería poco sabio por tu parte hacer más transacciones. El dinero que has robado es de decenas de miembros de la comunidad cripto, es decir, de la gente. Deberías hablar con nosotros para encontrar una solución.
— Poly Network (@PolyNetwork2) August 10, 2021