Hacker de Poly Network empieza a devolver los fondos y pide donaciones

12 de agosto de 2021

El hacker del protocolo de interoperabilidad de finanzas descentralizadas (DeFi) Poly Network, que acaba de perder más de 600 millones de dólares, pidió primero al protocolo un monedero multifirma (multisig) para devolver los fondos… y ha empezado a devolverlos.

Te puede interesar: Coinbase estimulará el uso de criptomonedas basado en el ‘comercio’Australia demanda a Block Earner, hacker roba $42M y + noticias


Según Tom Robinson, científico jefe y cofundador del rastreador de datos de blockchain Elliptic, hasta ahora se han devuelto 258 millones de dólares, mientras que el hacker “también está pidiendo donaciones, como recompensa por hacer lo correcto”.

Después de divertirse aparentemente con mensajes en los que se preguntaba si una votación de la comunidad debía decidir el destino de los fondos robados, el atacante escribió “¡LISTO PARA DEVOLVER EL FONDO!” – tal y como figura en el comentario adjunto a una transacción ejecutada por la dirección marcada como “PolyNetwork Exploiter”. No está claro, sin embargo, si el hacker planeaba devolver todos los fondos robados.

Pero entonces esta confusa sopa de la situación se espesó.

Poly Network ya había enviado una carta al hacker en la que le amenazaba con la aplicación de la ley y afirmaba que el dinero que se llevó en “el mayor [hackeo] de la historia [de Defi]” pertenece al pueblo.

Y a pesar de querer aparentemente devolver los fondos horas después, en otra transacción, el hacker dijo “NO HE PODIDO CONTACTAR CON EL POLI. NECESITO UN MONEDERO MULTISIG DE USTEDES”.

Más tarde, el protocolo compartió las direcciones a las que se pueden devolver los fondos.

Tal y como se informó, Poly Network sufrió ayer un exploit masivo en el que el atacante se llevó más de 600 millones de dólares. El ataque se produjo en Binance Smart Chain (BSC), Ethereum (ETH) y Polygon (MATIC).

La dirección en Etherscan, marcada como “reportada como involucrada en un exploit de PolyNetwork”, contiene 183 millones de dólares en tokens ERC-20 en el momento de escribir este artículo. Polygonscan muestra más de 85 millones de dólares, y la dirección de BscScan tiene alrededor de 133 millones de dólares.

Todavía no está claro qué ocurrió exactamente detrás de este hackeo. Incluso hay opiniones de que fue un trabajo interno, aunque muchos no están de acuerdo.

El especialista en seguridad de blockchain Xiamen SlowMist Technology escribió que “el núcleo de este ataque es que la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager puede ejecutar transacciones específicas entre cadenas a través de la función _executeCrossChainTx”. El atacante sustituyó la dirección de la función keeper, construyó una transacción a voluntad y pudo retirar cualquier cantidad de fondos del contrato.

Del mismo modo, el investigador Kelvin Fichter opinó que existe un “flujo crítico” en el contrato de Poly Network llamado ‘EthCrossChainManager’.

Un ingeniero que responde al nombre de ‘El Doggo Diablo’ subrayó que el espacio de las criptomonedas adolece de “una falta extrema de procesos de seguridad de software.”

Mientras tanto, hay informes de que bastantes individuos y fondos en China, donde se dice que este y otros proyectos relacionados son populares, se han visto afectados por el hackeo. El inversor Michael Gu (también conocido como “Boxmining”) afirmó haber sido él mismo una víctima, declarando que ya no puede hacer nada al respecto.

“El hackeo de Poly Network muestra que, aunque la tecnología de cadenas cruzadas está ciertamente progresando, parece ser dos pasos adelante y uno atrás. La mayoría de los lanzamientos de la versión beta son renunciados, de modo que el envío de grandes cantidades a contratos inteligentes no auditados es desaconsejado por los equipos del protocolo. Aun así, muchos inversores no pueden esperar a irrumpir en las puertas para hacer un rápido giro de 10x”, dijo Kay Khemani, director general de Spectre.ai, una plataforma de comercio sin intermediarios.

El mundo de las criptomonedas tiene dos campos filosóficos. El mundo del Bitcoin se mueve con lentitud y cautela, haciendo hincapié en la seguridad. El otro campo ha adoptado un enfoque de “moverse rápido y romper cosas”. Los ejemplos más obvios de esto son los frecuentes hackeos de los que oímos hablar; Bitcoin DeFi todavía no ha experimentado ningún hackeo de este tipo”, dijo Edan Yago, colaborador del protocolo Defi Sovryn basado en Bitcoin, en un comentario enviado por correo electrónico.

Según él, la diferencia es aún más profunda, ya que muchos proyectos fuera de Bitcoin sacrifican la descentralización y abren la puerta a la captura por parte de las élites.

“Envíenme dinero”

Casi inmediatamente después del ataque, aparecieron bastantes personas que enviaban mensajes y/o felicitaban al hacker, con la esperanza de recibir una propina.

Estos comentarios en Etherscan parecen haber sido marcados como spam. Sin embargo, todavía quedan algunos. Por ejemplo, Omaz Z Khan dijo:

“Tío, consigue todos los criptopunks que puedas. Ahórrame algo de eth o solo un punk 🙂 Estaré en deuda”.

“Por favor, envíanos un poco de dinero, estamos sufriendo todo el año por culpa de COVID, gracias de antemano”, dijo ‘meow chia’. El usuario ‘chanlaka’ escribió un post más largo, en el que afirmaba que habían perdido a sus padres y que sólo les quedaba su hermana pequeña enferma, a la que tienen que pagar las facturas del hospital.

‘SumYungGuy’ compartió un post más amplio sobre, básicamente, cómo salirse con la suya.

“bro just airdrop to all help all people!”, escribió simplemente @justin wong, que adoptó un enfoque más igualitario de la situación.

Incluso parece que muchas personas han decidido enviar al atacante trozos de su ETH u otra moneda con mensajes, aparentemente con la esperanza de obtener mucho más a cambio. “Te envié un pedacito de matic tal vez llame tu atención :/ por favor, cambia mi vida”, comentó ‘TheBluntsLit’, que ha escrito bastantes elogios.

Y la persona que, según los informes, recibió una propina de 13,37 ETH (42.930 USD), parece que también se divirtió.

Otras reacciones