Por Hannah Pérez  

El atacante malicioso logró emitir miles de millones de dólares en tokens a través del puente, aunque solo logró liquidar una fracción de la cifra. Es el segundo hackeo de alto perfil que sufre Poly Network. 

***

  • Poly Network, un puente de cadena cruzada, es la última víctima de ataque de piratería en DeFi
  • Explotador logró acuñar tokens por valor de miles de millones de dólares ‘de la nada’
  • A pesar de la enorme cifra, se estima que solo ha logrado liquidar unos USD $5 millones 
  • Este es el segundo hackeo notable que sufre Poly Network 

Poly Network, un protocolo de interoperabilidad de múltiples cadenas, ha suspendido operaciones después de haber sufrido un ataque de piratería millonario.

Durante el fin de semana, un pirata informático habría aprovechado una vulnerabilidad en el protocolo para emitir una enorme cantidad de tokens de la nada. Diversos informes arrojaron que, en un momento, la billetera de criptomonedas del explotador contenía tokens por valor de alrededor de USD $32 mil millones; aunque solo una porción se habría traducido en ganancias reales.

El equipo de Poly Network, un puente entre cadenas que facilita la transferencia de activos a través de diferentes cadenas de bloques, confirmó el incidente el domingo, detallando que el atacante habría acuñado variables de 57 tokens en varias blockchains, incluidas Ethereum, BNB Chain, Metis y Polygon.

En respuesta a lo sucedido, el equipo anunció la suspensión de sus servicios y dijo que estaba trabajando activamente con intercambios centralizados y agencias de aplicación de la ley para identificar al perpetrador y recuperar los fondos.

Ataque de piratería de “USD $32 mil millones

Si bien la cantidad exacta de fondos robados no ha sido especificada, la firma de seguridad Beosin estima que podría rondar los USD $10 millones, ya que solo una pequeña parte de los tokens acuñados artificialmente se intercambió por Ether (ETH) en las redes Ethereum y Binance Smart Chain, según dijeron los analistas en Twitter

Mientras, un informe separado de PeckShield calcula que el explotador ha transferido al menos USD $5 millones en criptomonedas. A pesar de haber acuñado miles de millones, el atacante solo pudo cobrar una porción debido a una pronunciada falta de liquidez en las cadenas afectadas.

De acuerdo con el analista de seguridad de DeFi, Arhat, la explotación podría haber sido el resultado de una vulnerabilidad de contrato inteligente que permitió al hacker “elaborar un parámetro malicioso que contenía una firma de validador falsa y un encabezado de bloque“. Esto habría sido aceptado por el contrato inteligente, lo que permitió al pirata informático eludir el proceso de verificación y emitir tokens del grupo Ethereum de Poly Network a su propia dirección en otras cadenas. 

De esta manera, el pirata informático pudo acuñar miles de millones de tokens en varias cadenas de bloques que no existían antes y transferirlos a sus propias direcciones de billetera.

Aunque el proveedor de soluciones de seguridad Blockchain, Dedaub, que denominó el incidente como el “hackeo de USD $34 mil millones de Poly Network“, sugirió por su parte que el ataque puede haber surgido de un compromiso o robo de claves privadas utilizadas en el contrato inteligente principal de la plataforma, en lugar de una vulnerabilidad específica dentro de la lógica de contrato.

Según esos investigadores, las claves privadas de tres de las cuatro billeteras administrativas, que alimentan el principal contrato inteligente del proyecto, estaban comprometidas. Esta información no ha sido confirmada aún por el equipo de Poly Network.

Segundo hackeo notable a Poly Network 

Después de la suspensión de operaciones, el equipo de de Poly Network también aconsejó a los equipos de proyectos afectados y a los tenedores de tokens que retiren liquidez y desbloqueen sus tokens de los intercambios descentralizados (DEX) y los proveedores de liquidez. El equipo también apeló al atacante para que devolviera los activos del usuario para “evitar posibles consecuencias legales“.

Esta no es la primera vez que Poly Network experimenta un ataque de piratería de gran alcance. En 2021, el puente sufrió uno de los mayores hackeos en la historia de las criptomonedas cuando un hacker robó más de USD $600 millones a la plataforma. Por fortuna para el proyecto, el responsable terminó siendo un carismático hacker de sombrero blanco que devolvió los fondos.

Históricamente, los puentes de criptomonedas que permiten el paso de activos entre diferentes cadenas de bloque, han sido un objetivo para los actores maliciosos. El último incidente es la prueba de que estos protocolos aún se enfrentan a serios desafíos de seguridad.


Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash 

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.