Der August 2021 markierte einen der schockierendsten Meilensteine in der Geschichte der Kryptowährung. In diesem Zeitraum griffen Hacker die Poly Network-Plattform an und stahlen Kryptowährungen im Wert von mehr als 610 Millionen US-Dollar. Dies war einer der größten Cyberangriffe in der #DeFi-Branche (dezentrales Finanzwesen). Es stellte sich jedoch heraus, dass es in dieser Geschichte nicht nur um Diebstahl ging, sondern auch um unerwartete Wendungen – von Verhandlungen mit Hackern bis hin zur Rückgabe von Geldern.
In diesem Artikel werden die Ereignisse im Vorfeld des Angriffs, seine Auswirkungen auf die Branche und die Lehren, die die Marktteilnehmer daraus gezogen haben, detailliert beschrieben.
Was ist Poly Network?
Poly Network ist ein kettenübergreifendes Protokoll, das für die Interoperabilität zwischen verschiedenen Blockchains wie Ethereum, Binance Smart Chain und Polygon entwickelt wurde. Sein Hauptziel besteht darin, Benutzern die Möglichkeit zu geben, Vermögenswerte schnell, sicher und ohne die Notwendigkeit zentraler Börsen zwischen verschiedenen Netzwerken zu übertragen.
Mit der steigenden Beliebtheit von DeFi im Jahr 2021 hat sich Poly Network einen wichtigen Platz auf dem Markt erobert und ist zu einem wichtigen Werkzeug für Entwickler und Investoren geworden. Die hohe Komplexität und Innovation von DeFi-Protokollen birgt jedoch immer auch Sicherheitsrisiken.
Chronologie der Ereignisse
10. August 2021: Angriff
Beginn des Angriffs. Am Morgen des 10. August nutzten Hacker eine Schwachstelle in den Smart Contracts von Poly Network aus. Wenige Stunden später transferierten sie Kryptowährungen im Wert von 610 Millionen US-Dollar auf ihre Wallets.
Hauptvorteile:
Das Ausmaß des Schocks. Die Nachricht von dem Angriff verbreitete sich sofort um die Welt. Poly Network veröffentlichte einen offenen Brief an die Hacker, in dem sie die Rückgabe der gestohlenen Gelder forderten und mit rechtlichen Schritten drohten.
Verhandlungen mit Hackern
11. August 2021. Hacker begannen, einen Teil der Gelder zurückzugeben und erklärten ihre Aktionen in den Kommentaren zu den Transaktionen. Sie behaupteten, dass es sich bei dem Angriff um ein „White-Label-Experiment“ handele, das darauf abzielte, Schwachstellen in der Plattform zu identifizieren.
Nachrichten von Hackern. In ihrem „Geständnis“ erklärten die Angreifer, ihr Ziel sei es, Gelder vor anderen potenziellen Hackern zu schützen, die dieselbe Schwachstelle ausnutzen könnten.
Antwort von Poly Network. Das Projektteam trat in einen Dialog mit den Hackern und nannte sie „Mr. White Hat“. Während der Verhandlungen bot Poly Network den Hackern die Rolle von Sicherheitsberatern und sogar eine Belohnung für die Identifizierung der Schwachstelle an.
Erstattung
12.–13. August 2021. Hacker begannen, Vermögenswerte zurückzugewinnen. Bis zum 13. August waren 342 Millionen US-Dollar zurückgezahlt worden, die restlichen Mittel wurden vorübergehend eingefroren, während sich die Parteien auf die Bedingungen einigten.
18. August 2021. Alle gestohlenen Gelder, mit Ausnahme von 33 Millionen US-Dollar in USDT (eingefrorenes Tether), wurden zurückgegeben.
Ergebnisse des Angriffs
Vollständige Rückzahlung der Mittel. Trotz des Ausmaßes des Angriffs haben die Benutzer von Poly Network ihr Vermögen nicht verloren.
Öffentliche Stellungnahme von Hackern. Im abschließenden Kommentar äußerten die Angreifer ihre Zufriedenheit darüber, dass ihr „Experiment“ zu einer erhöhten Sicherheit geführt habe.
Wie kam es zu dem Angriff?
Technische Seite
Der Angriff wurde durch eine Schwachstelle im Code intelligenter Verträge ermöglicht, die kettenübergreifende Transaktionen verwalten. Hacker konnten die Parameter des Vertrags ändern, indem sie Aufrufe an die Funktion fälschten, die den Transfer von Vermögenswerten zwischen Blockchains kontrollierte.
Der Hauptfehler war eine unzureichende Datenvalidierung beim Aufruf von Funktionen, die es Angreifern ermöglichte, Schlüsselvariablen zu ändern und effektiv Eigentümer von Vermögenswerten zu werden.
Warum hat Poly Network den Angriff nicht verhindert?
Komplexität der Architektur. Internetprotokolle erfordern komplexe Lösungen, die viele Schwachstellen schaffen.
Unzureichende Tests. Die Smart Contracts von Poly Network wurden nicht vollständig geprüft, sodass Hacker die Schwachstelle entdecken und ausnutzen konnten.
Fehlender mehrstufiger Schutz. Der Transaktionsbestätigungsprozess war nicht ausreichend sicher.
Auswirkungen auf den Kryptomarkt
Reaktion auf Angriff
Vorübergehende Panik. Unmittelbar nach dem Vorfall begannen die Preise für einige Kryptowährungen zu fallen und DeFi-Benutzer begannen, Gelder aus Projekten abzuheben.
Verstärkter Fokus auf Sicherheit. Nach dem Vorfall begannen große Projekte, intelligenten Vertragsprüfungen mehr Aufmerksamkeit zu schenken.
Auswirkungen auf den Ruf von DeFi
Obwohl Poly Network die Gelder wiederherstellte, untergrub der Vorfall das Vertrauen in die DeFi-Protokolle. Benutzer sind bei der Auswahl von Anlageplattformen vorsichtiger geworden.
Nächste Schritte für Poly Network
Poly Network hat ein Sicherheitsaudit durchgeführt und seine Smart Contracts aktualisiert. Darüber hinaus wurde ein mehrstufiger Testprozess implementiert, um die Wiederholung ähnlicher Angriffe zu verhindern.
Ursachenanalyse
Fehler im Code. Hauptursache des Angriffs war eine Schwachstelle im Code.
Mangel an Audits. Poly Network hat dem Testen seiner Protokolle nicht genügend Aufmerksamkeit geschenkt.
Fehlende Sicherheitsstandards. Im Jahr 2021 steckte die DeFi-Branche noch in den Kinderschuhen und viele Projekte unterschätzten die Bedeutung der Sicherheit.
Lehren für die Branche
Die Bedeutung von Audits. Große Projekte sollten sich regelmäßig unabhängigen Sicherheitsaudits unterziehen.
Die Rolle von Hackern bei der Entwicklung des Ökosystems. Obwohl das Vorgehen der Angreifer gegen das Gesetz verstößt, deckt es Schwachstellen auf, was der Branche hilft, stärker zu werden.
Transparenz und Kommunikation. Poly Network hat gezeigt, dass ein offener Dialog mit der Community Reputationsschäden minimieren kann.
Der Angriff auf Poly Network hat uns daran erinnert, dass selbst die innovativsten Projekte anfällig für komplexe Herausforderungen sind. Der Vorfall verdeutlichte die Notwendigkeit einer kontinuierlichen Verbesserung der Sicherheit und Interaktion zwischen den Marktteilnehmern.
Es ist jedoch wichtig anzumerken, dass der DeFi-Markt dank des schnellen Handelns des Teams und des ungewöhnlichen Verhaltens der Hacker eine Krise großen Ausmaßes vermeiden konnte. Dieser Fall wurde zum Ausgangspunkt für die Schaffung neuer Sicherheitsstandards.