Поліметрка була піддано нападу 🚀💰
Дії багатьох користувачів інтерпретували як можливий хакінг після публічних повідомлень про швидку видалку коштів із платформи передбачувальної торгівлі. Власники облікового запису Поліметрка пізніше повідомили, що інцидент був не експлуатацією смарт-контракту і не вплинув на кошти користувачів або розв’язання ринку.
Перша хвиля хвилювання виникла після повідомлень он-джайн-інвестигатора ZachXBT та компанії blockchain-аналітики Bubblemaps. ZachXBT сказав, що обліковий запис адміністратора Поліметрка був порушений у Polygon, із видалкою більш ніж $520 000 на час його повідомлення на Телеграм.
Bubblemaps потім попередили, що атакувачи видаляють 5 000 POL приблизно кожні 30 секунд, а близько $600 000 було вкрадено на цей час, тоді як радили користувачам зупинити діяльність у Поліметрці.
Пізніше Поліметрка пояснювала, що проблема не стосувалася несправності ринку, а була внутрішньою порушенням безпеки операцій. Пізніше висновки вказували на порушення приватного ключа визначеної кишені, а не на “контракти чи основний інфраструктурний інфраструктуру”. Софтуверний інженер Поліметрки Шантіка Чанал також сказав: “Кошти користувачів та розв’язання ринку в безпеці.”
Цим поясненням було вказано різні ризики. Порушення контракту або розв’язання справи піднімуть питання щодо того, чи ринок зможе правильно розв’язати справи чи було б відкрито користувацькі позиції. Внутрішнє порушенням безпеки кишені, хоча воно і дуже серйозне, вказує замість цього на питання щодо управління ключами, обслуговуючі послуги, а також операційні засоби захисту кишеней, що підтримують платформу.
Публічне попередження рухлося швидше, ніж приватне ключове порушення пояснення. Публічний пост на Телеграмі на 08:22 UTC згадував обліковий запис адміністратора Поліметрки як порушений у Polygon і ідентифікував обліковий запис атакувача як 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
Те саме повідомлення вказувало на пов’язані облікові записи та викрадені облікові записи, що дали он-джайн-аналітикам слід для подальшого дослідження.
Далі, Bubblemaps зміцнив попередження на 08:51 UTC, називаючи ситуацію експлуатацією Поліметрки контракту, видатної експлуатації попередження, яке би піднімало негайні сумніви щодо основної інфраструктури і сказав, що атакувач видаляє 5 000 POL кожні 30 секунд.
Он-джайн дані показують, чому попередження привернуло увагу. Транзакція PolygonScan на 09:01:19 UTC показує 5 000 POL, які рухалися до облікового запису адміністратора Поліметрки, який був відзначений як UMA CTF Adapter Admin.
За сім секунд пізніше, ще одна показує 4 999,994 POL, які рухалися з відзначеного облікового записа адміністратора до облікового запису атакувача. Обліковий запис атакувача був відзначений PolygonScan як “Поліметрка Адаптер експлоіту 1” і показував повторні передачі навколо попереднього часу повідомлень.
Ця транзакційна пара підтверджувала видимий шаблон видалки коштів, який спричинив публічну тривогу і давав конкретний приклад видимого потоку передач, який Поліметрка-тимчі члени пізніше називають внутрішньою служби підзарядки, залишивши кореневу причину до заявлень команди.
Питання початкове попередження. Поліметрка-лінковані облікові записи пояснили ситуацію. Що відбувалося?
Bubblemaps попередили, що кожні 5 000 POL видалялися близько кожні 30 секунд.
Керівництво заявило, що питання стосувалося виплати винагород або внутрішньої підзарядки діяльності.
Чи був експлуатувався контракт?
Bubblemaps раніше назвали це експлуатацією контракту Поліметрки.
Поліметрка-лінковані облікові записи сказали, що висновки вказували далі від контрактів або основної інфраструктури.
Чи були зачіплені користувацькі кошти?
Перше попередження радило користувачам зупинити діяльність у Поліметрці.
Шантіка Чанал і керівництво Поліметрки сказали, що користувацькі кошти та розв’язання ринку були в безпеці.
Оцінка поточної втрати була близько $600 000 на повідомлення Бульбомапс.
Оцінка остаточної втрати, повний перелік відзначених облікових записів та деталі відновлення ще не були затверджені.
Заявлення команди вказували на порушення внутрішнього Поліметрки приватного ключа. Найчітливіше офіційне означення прийшло від облікового запису розробників Поліметрки, який вказував на порушення внутрішнього Поліметрки приватного ключа, який стосувався кишені, яка використовується для внутрішньої підзарядки.
Цей виклад відносить інцидент з категорії прямої експлуатації смарт-контракту у категорію операційної безпеки: хто контролював ключ, яким чином він був розкритий і чому заражене процесу продовжувала передавати POL у обліковий запис, який міг бути вкрадений.
Слово Чаналу використовувало подібну мову, кажучи, що повідомлення були пов’язані з виплатою винагород і що висновки вказували на порушення внутрішнього Поліметрки приватного ключа кишені, яка використовується для внутрішньої діяльності. У відповідях користувачів Чанал сказав кишені “в повній безпеці” і сказав команди, які досліджують задній ряд системи та секрети під час заміни ключів.
Мустафа, ще один обліковий запис, пов’язаний з Поліметркою, дав найближчий роз’яснення контрактної різниці. Він сказав: “Дії щодо контракту не були експлуатованими”, додавши, що питання стосувалося внутрішньої облікового запису операцій, який був використаний послугою, яка перевіряє та підзаряджає баланси кожні кілька секунд.
Він також сказав, що кошти користувачів були у безпеці і що обліковий запис був виконаний.
Документація Поліметрки самої допомагає пояснити ризики, що лежать за цим розрізненням. Платформа каже, що ринки використовують UMA для розв’язання питань і що переможні позиції будуть викуплені після розв’язання шляхом механізмів CTF.
Документи щодо CTF описують tokenи виходу для і відзначають, що yes/no пари повністю забезпечені. У цьому контексті, прямо порушена інфраструктура CTF або розв’язання питання піднімуть різні запитання від порушеної кишені, яка використовувалася для виплати винагород або внутрішньої підзарядки.
Більшість заяви команди розташовують питання за межами основної інфраструктури ринку-розв’язання. Вони залишають питання щодо операційної безпеки відкритими.
Приватні ключі є шаром влади для блокчейн-кишень і порушення внутрішнього ключа може ще рухати кошти, спричиняти публічну тривогу і розкривати слабкості у спостереженні або автоматичних підзаряджуючих потоків навіть тоді, коли торгівельні рахунки користувачів та процеси
За матеріалами CryptoSlate