Poly Network는 사용자들에게 57개의 암호화 자산에 영향을 미치는 공격이 발생한 후 인출을 촉구합니다.

7월 2일 크로스 체인 브리지 플랫폼 Poly Network에 대한 공격 이후에 추가 세부 정보가 밝혀졌으며, 해커는 이익을 위해 공중에서 수조 토큰을 발행할 수 있었습니다.

Poly Network는 7월 2일 트윗에서, 해커들이 크로스 체인 브리지 프로토콜의 스마트 계약 기능을 조작하여 최신 탈중앙화 금융(DeFi) 피해자가 되었음을 확인하고 일시적으로 서비스를 중단할 것이라고 밝혔습니다.

최신 업데이트에서 팀은 이 공격이 Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX, Metis 등 10개 블록체인의 57가지 암호화폐 자산에 영향을 미쳤다고 밝혔습니다.

공격으로 얼마나 많이 훔쳐졌는지는 명시하지 않았지만, PeckShield는 이전에 해커가 최소 500만 달러의 가치에 해당하는 암호화폐를 이체했다고 보고했습니다. CertiK의 7월 3일 보고서에 따르면, 이 공격으로 인해 외부 소유 주소에 걸쳐 약 1,000만 달러 가치의 암호화폐가 수집되었다고 추정되었습니다.

• 바이낸스는 11차 LUNC 소각을 진행하였으며, 26.5억 개의 토큰이 파괴되었습니다.
• 폴리 네트워크 해커, 최신 암호화폐 해킹 사건에서 ‘하찮은’ 금액의 SHIB, BNB, BUSD 발행
• Q2에 DeFi 해킹 및 사기로 2억 4,000만 달러 이상 손실 발생 Finance Redefined

팀은 7월 3일 업데이트에서 “우리는 이미 중앙 집중형 거래소와 법 집행 기관과 소통을 시작하고 그들의 지원을 요청했습니다.”라고 밝혔습니다.

또한 프로젝트 팀과 토큰 홀더들에게 유동성을 인출하고 유동성 공급자 토큰을 잠금 해제하기를 권장했습니다.

‘340억’ Poly Network 해킹 내역

DeFi 보안 분석가 Arhat은 이 공격이 해커가 “가짜 검증자 서명과 블록 헤더를 포함한 악성 매개 변수를 만들 수 있는 스마트 계약 취약성”으로 인해 발생되었다고 말했습니다.

이것이 스마트 계약에 받아들여지면서 해커는 검증 프로세스를 우회하고 Poly Network의 이더리움 풀에서 자신의 주소로 다른 체인(예: Metis, BNB Chain, Polygon)으로부터 토큰을 발행할 수 있게 되었습니다.

이 과정은 다른 체인에 대해서도 반복되어 토큰이 쌓이게 되었습니다.

한 시점에서 해커의 지갑에는 약 420억 달러 가치의 토큰이 보유되었지만, 분석가는 그 중 일부만 변환하고 훔칠 수 있었다고 말했습니다.

“이런 식으로 해커는 이전에 존재하지 않았던 다양한 블록체인에서 수조 토큰을 찍어내고 자신의 지갑 주소로 이체할 수 있었습니다.”

블록체인 보안 솔루션 제공업체인 Dedaub은 최신 Poly Network 공격을 “340억 Poly Network 해킹”이라고 지칭했습니다.

기술적인 사후 분석을 통해 “340억” Poly Network 해킹의 근본 원인을 파악하였습니다. 요약하면 Poly Network는 2년 동안 단순한 3중 4다중 서명 방식을 갖고 있었습니다! 최종 사건을 살펴보면 표시된 주소의 개인 키가 침해당했음을 발견했습니다.

— Dedaub (@dedaub) July 2, 2023

Dedaub은 이 프로토콜의 다중서명에 약점이 있었다고 언급하며, 2년 동안 단순한 “3중 4다중 서명” 방식을 사용했다고 덧붙였습니다:

“최종 사건을 살펴보면 표시된 주소의 개인 키가 침해당했음을 발견했습니다.”

Dedaub은 이 공격이 복잡하지 않았으며, 논리 버그가 악용되지 않았다고 설명했습니다. 또한 Poly Network가 7시간 이상 응답하는 데 걸렸으며, 이로 인해 플랫폼은 550만 달러의 암호화폐를 잃었습니다. 다행히 많은 토큰들이 유동성 부족으로 인해 추가 손실을 방지했습니다.

관련 기사: 2분기에 DeFi 해킹과 사기로 인해 2억 4천만 달러가 손실되었습니다

공격 이후, 바이낸스 CEO인 창펑 저는 “이것은 바이낸스 사용자에게 영향을 미치지 않습니다. 우리는 이 네트워크로부터 예금을 지원하지 않습니다.”라고 고객들에게 안심을 안겼습니다.

Poly Network가 다시 망가졌습니다. 알려졌다건대, 온라인 키가 침해된 결과로 이런 일들이 계속 일어날 것입니다. 우리 산업은 보안에 접근 방식을 변경할 때까지 계속될 것입니다. 스마트 계약 감사는 겉핥기에 불과합니다. ps Poly Network는 Polygon과 전혀 관련이 없습니다. https://t.co/n1qI48b4Kb

— Mudit Gupta (@Mudit__Gupta) July 2, 2023

Dubis은 Poly Network에 추가 세부 정보를 요청했으나, 게시 시까지 응답을 받지 못했습니다.

2021년 8월, Poly Network는 업계에서 가장 큰 해킹 중 하나에 휩쓸렸습니다. 해커들은 나중에 북한 해킹 집단인 라자루스 그룹과 관련이 있다는 것이 밝혀졌으며, 6억 달러 이상을 탈취했습니다.

매거진: 토네이도 캐시 2.0: 안전하고 법적인 코인 믹서 구축을 위한 경쟁