Het werd de grootste DeFi hack ooit genoemd: Poly Network verloor voor 600 miljoen dollar aan cryptocurrency aan een hacker. De hacker heeft inmiddels het grootste deel van de opbrengst weer teruggegeven, waardoor de schade op het netwerk beperkt bleef. Poly heeft in reactie hierop de kwetsbaarheden hersteld en is het gesprek aangegaan met de hacker.
Poly is een cross-chain overbruggingsprotocol dat flexibele interactie tussen meerdere blockchains mogelijk maakt. Zij nodigden de anonieme hacker uit om de positie van hoofd beveiligingsadviseur van het team te vervullen.
#PolyNetwork has no intention of holding #mrwhitehat legally responsible and cordially invites him to be our Chief Security Advisor. $500,000 bounty is on the way. Whatever #mrwhitehat chooses to do with the bounty in the end, we have no objections. https://t.co/4IaZvyWRGz
— Poly Network (@PolyNetwork2) August 17, 2021
Beloning en een baan aangeboden
Wie zegt dat hacken niet loont? Poly zegt dat het niet van plan is om de hacker juridisch verantwoordelijk te houden, en wil hem of haar nu juist binnenhengelen:
“We hebben ons voortdurend ingespannen om overeenstemming te bereiken met de heer White Hat en hopen oprecht dat de heer White Hat de private keys zo snel mogelijk zal overdragen, zodat we de gebruikers op zijn vroegst de volledige controle over de activa kunnen teruggeven,’ schreef het protocol in hun laatste update. Met White Hat wordt gerefereerd naar het type hacker, want een White Hat zoekt bewust naar zwakheden, geeft dit aan en is niet uit op eigen gewon. Toch zit een deel van het gestolen geld nog in de wallet van de hacker. Dit is een zogenaamde multisig wallet, en de hacker heeft zijn deel van de sleutel niet gedeeld.
Poly Network heeft de aanvaller gesmeekt om de privésleutel te verstrekken en heeft hem of haar al een beloning van een half miljoen dollar aangeboden.
‘Ik overweeg de premie te nemen als een bonus voor openbare hackers als ze het Poly Network kunnen hacken,’ reageerde de aanvaller. Poly Netwerk heeft er hier geen problemen mee, de hacker mag doen met het geld wat hij of zij wil doen.
De nasleep van de hack
‘We hebben de kwetsbaarheid van het cross-chain contract opgelost waardoor het adres van de keeper werd gewijzigd in het adres dat is opgegeven door de heer Whitehat. De oplossing omvat het op de witte lijst zetten van de contracten en methoden die kunnen worden ingeroepen via externe oproepen.’
We have fixed the cross-chain contract vulnerability that resulted in the keeper address being modified to the address specified by Mr. Whitehat. The fix involves whitelisting the contracts and methods that can be invoked via external calls,which has been reviewed by @peckshield https://t.co/V5bChgT9Yr
— Poly Network (@PolyNetwork2) August 15, 2021
Sinds het incident heeft het protocol ervoor gezorgd dat ‘activaherstel van het team de eerste prioriteit is,’ terwijl het samenwerkte met meerdere beveiligingsbedrijven die hen hielpen bij het uitvoeren van contractaudits.
#PolyNetwork mainnet upgrade goes live. As stated in our #roadmap, the next step is Phase 3 Project Launch. For security reasons,#PolyBridge has taken down all assets, and users will freely execute cross-chain transactions after the projects’ applications. https://t.co/G2iWI7J4ez
— Poly Network (@PolyNetwork2) August 16, 2021
Terwijl de nieuwe patch nu wordt getest en beoordeeld ging een nieuwe upgrade van het mainnet live. Het team startte ook een nieuw beloningsprogramma van 500.000 dollar op bug bounty-platform Immunefi.