Haker Poly Network zwraca 256 milionów dolarów w krypto

Napastnik, który wczoraj przeprowadził atak na Poly Network rozpoczął zwrot skradzionych aktywów. Możliwą przyczyną jest to, że firmie zajmującej się bezpieczeństwem blockchain, Slowmist udało się uzyskać informacje o jego tożsamości. Do tej pory haker odasłał już 256 milionów dolarów w tokenach z łupu.

Siedem minut przed wysłaniem pierwszej transakcji zwrotnej, haker stworzył token o nazwie “Haker jest gotowy do poddania się” i wysłał ten token na wskazany adres Polygon.

Następnie zdecydował się na odesłanie ponad 1 miliona dolarów w USDC na wyżej wspomniany blockchain. Zrobił to w trzech transakcjach w przyrostowo rosnących kwotach (10, 10 000 i 1 milion). Oprócz tego, zwrócił token powiązany z bitcoinem na Binance Smart Chain – 23,8 BTCB (1,1 miliona dolarów), 259,7 miliarda tokenów shiba inu (SHIBA) o wartości 2 milionów dolarów oraz 600 tysięcy dolarów w stablecoinie FEI.

Kilka godzin później, po rozmowie z zespołem Poly Network w zakodowanych wiadomościach, haker odesłał prawie wszystkie aktywa na Binance Smart Chain. Tym razem wysłał ponad 1000 BTCB (46,4 mln USD), 26 629 ETH (86 mln USD) oraz 119 mln USD w stablecoinie BUSD. Jedyne aktywa, które pozostały na tym łańcuchu to 6 613 BNB (2,6 mln USD).

Największe włamanie DeFi do tej pory

Zwrot ma miejsce niecały dzień po pierwotnym użyciu exploita, który był największym do tej pory włamaniem do ekosystemu DeFi. Skradzione aktywa obejmowały 273 miliony dolarów w tokenach Ethereum, 253 miliony dolarów w tokenach na Binance Smart Chain oraz 85 milionów dolarów w USDC w sieci Polygon. Od tamtego czasu, Tether był jedynym podmiotem, któremu udało się zareagować wystarczająco szybko. Firma umieściła na czarnej liście skradzione USDT o wartości około 33 milionów dolarów.

Jednak kilka godzin po kradzieży firma Slowmist, zajmująca się bezpieczeństwem blockchain, oświadczyła, że namierzyła już IP i e-mail napastnika. Jednocześnie zapowiedziała, że będzie kontynuować dochodzenie. We wtorek Slowmist w swoim poście na Weibo zasugerował, że napastnik użył mało znanej chińskiej giełdy kryptowalutowej, Hoo podczas gromadzenia funduszy na atak. Wskazała też na to, w jaki sposób prześledziła cyfrowy ślad. Inni kryptowalutowi detektywi również znaleźli szczegóły związane z innymi giełdami, które mogą pomóc w identyfikacji napastnika.

Około 4:00 czasu UTC w środę, atakujący napisał “Gotowy do zwrotu funduszu!” w transakcji Ethereum, która została wysłana z adresu PolyNetwork Exploiter do siebie. Po tej wiadomości pojawiła się kolejna, w której czytamy: “Nie udało się nawiązać kontaktu z Poly. Potrzebuję od Ciebie zabezpieczonego portfela multisig”.

Około 20 minut później, zespół stojący za Poly Network odpowiedział na adres hakera poprzez transakcję, że “przygotowuje adres multisig kontrolowany przez znane adresy Poly.” W kolejnej transakcji zespół Poly Network wskazał trzy adresy, na które miał nadzieję, że atakujący zwróci środki. Obecnie na te adresy wysyłane są pieniądze.