Le pirate du protocole d’interopérabilité financière décentralisée (DeFi) ) Poly réseau , qui vient de perdre plus de 600 millions de dollars, a d’abord demandé le protocole d’un portefeuille multi-signature (multi-signature) pour restituer les fonds, et a commencé à les restituer.

Jusqu’à présent, le pirate a retourné 1,007 million de dollars, selon les données de Polygonscan. C’est un début, mais le chemin est encore long.

Après s’être apparemment amusé avec des messages demandant si un vote de la communauté devrait décider où les fonds volés devraient aller, l’attaquant a écrit “PRÊT À RETOURNER LE FONDS!” – tel qu’il apparaît dans le commentaire joint à une transaction exécutée par l’adresse marquée ‘PolyNetwork Exploiter’. Cependant, il n’est pas clair si le pirate informatique avait prévu de restituer tous les fonds volés.

Mais alors cette soupe déroutante d’une situation s’est épaissie.

Poly Network avait déjà envoyé une lettre au pirate informatique les menaçant de forces de l’ordre et déclarant que l’argent qu’ils avaient récupéré « le plus gros [hack] dans l’histoire [de Defi]« appartient au peuple.

Et même s’il voulait apparemment restituer les fonds quelques heures plus tard, lors d’une autre transaction, le pirate informatique a déclaré : « N’A PAS CONTACTÉ LA POLICE. J’AI BESOIN D’UN PORT.UILLE MULTISIG ASSURÉ DE VOTRE PART. »

Hacker : “C’EST DÉJÀ UNE LÉGENDE DE GAGNER BEAUCOUP DE FORTUNE. CE SERA UNE LÉGENDE ÉTERNELLE POUR SAUVER LE MONDE. J’AI PRIS LA DÉCISION, PLUS DE DOMMAGES” 0xd239b01026c49b234d075e3d23a07efd1c3234239cfb440c0f90d5e84836fbe2 pic.twitter.com/yDc2BwBiO2 – harry.eth (@sniko_) 11 août 2021

Plus tard dans la journée, le protocole a partagé les adresses auxquelles les fonds peuvent être retournés.

Comme indiqué, Poly Network a subi un exploit massif hier, voyant l’attaquant décoller avec plus de 600 millions de dollars. L’attaque a eu lieu sur Binance Smart Chain (BSC), Ethereum (ETH) et Polygon (MATIC).

L’adresse sur Etherscan, marquée comme “signalée comme impliquée dans un exploit PolyNetwork”, contient des jetons ERC-20 d’une valeur de 183 millions de dollars au moment de la rédaction. Polygonscan affiche plus de 85 millions de dollars et l’adresse BscScan a environ 133 millions de dollars.

On ne sait toujours pas ce qui s’est exactement passé derrière cette cascade. Il y a même des opinions selon lesquelles il s’agissait d’un travail interne, bien que beaucoup ne soient pas d’accord.

Le spécialiste de la sécurité blockchain Technologie Xiamen SlowMist a écrit que “le cœur de cette attaque est que la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager peut exécuter des transactions inter-chaînes spécifiques via la fonction _executeCrossChainTx”. L’attaquant a remplacé l’adresse du rôle de gardien, construit une transaction à volonté et a pu retirer n’importe quel montant de fonds du contrat.

De même, le chercheur Kelvin Fichter a estimé qu’il existe un « flux critique » dans le contrat Poly Network appelé « EthCrossChainManager ».

Un ingénieur se faisant appeler “The Devil Doggo” a souligné que l’espace crypto souffre “d’un manque extrême de processus de sécurité logicielle”.

Pendant ce temps, il a été rapporté qu’un certain nombre de personnes et de fonds en Chine, où ce projet et d’autres projets connexes seraient populaires, ont été affectés par le piratage. L’investisseur Michael Gu (alias ‘Boxmining’) a affirmé avoir été une victime, déclarant qu’il ne peut rien y faire pour le moment.

‘Envoie moi de l’argent’

Presque immédiatement après l’attaque, bon nombre de ceux qui envoyaient des SMS et / ou félicitaient le pirate informatique sont apparus, dans l’espoir d’obtenir un indice.

Ces commentaires Etherscan semblent avoir été signalés comme spam. Cependant, certains restent encore. Par exemple, Omaz Z Khan a dit : “Mec, prends tous les cryptopunks que tu peux. LIBÈRE-MOI un petit eth ou juste un punk 🙂 je serai endetté.”

“S’il vous plaît envoyez-nous des fonds, nous souffrons toute l’année à cause de COVID, merci d’avance”, a déclaré ‘meow chia’. L’utilisateur ‘chanlaka’ a écrit un article plus long, déclarant qu’ils avaient perdu leurs parents et ne restaient qu’avec leur jeune sœur malade pour laquelle ils devaient payer les factures d’hôpital.

‘SumYungGuy’ a partagé un article plus large sur la façon de s’en sortir.

« Frère, juste pour aider tout le monde ! » a simplement écrit « justin wong », qui a adopté une approche plus égalitaire de la situation.

Il semble même que de nombreuses personnes aient décidé d’envoyer aux attaquants des bits de leur ETH ou d’une autre devise avec des messages, espérant apparemment en obtenir beaucoup plus en retour. “Je t’ai envoyé un petit matic, peut-être qu’il attirera ton attention : / s’il te plaît, change ma vie”, a commenté ‘TheBluntsLit’, qui a écrit pas mal de compliments.

Et la personne qui aurait reçu un pourboire de 13,37 ETH (42 930 $), semble s’être aussi amusée.

Tous les tx sont une permutation de 1337. 133.713371337 Gwei a été utilisé pour le gaz. Utilisez MrGorbachevTearDownThatWall.txt comme message. Oui, définitivement Hanashiro est un turbo degen 4chan qui nous divertit. pic.twitter.com/fSBkuu1uMb – Hsaka (@HsakaTrades) 10 août 2021

Autres réactions :

Pour tous ceux qui sont encore confus, voici l’astuce rendue comme un beau gif pic.twitter.com/Shg5Tdf21Z – Créateur de nombres naturels ressemblant à Dieu (TM, R) (@kelvinfichter) 10 août 2021

Blogueur chinois Chaojijun : J’ai consulté l’USDT, l’USDC et le BSC pour la première fois. L’USDT a été gelé. Le PDG de l’USDC a déclaré… https://t.co/YTzuoOzaTn – Wu Blockchain (@WuBlockchain)

effrayant de voir 500 millions de dollars supplémentaires de contrats non audités https://t.co/Ri7hsZaFGP – Loi ThΞ Luu (@loi_luu)

Combien de hacks supplémentaires faut-il pour tout déplacer en $ BTC ? 2, 3, 5, 20, 100, le vôtre ? https://t.co/jCAjEBypph – Doctorat en Bitcoin Fool (@bitcoinfool)

fil sauvage de jedi master dev @fubuloubu sur ce qui fonctionne et ce qui ne fonctionne pas pour améliorer la sécurité / fiabilité… https://t.co/WJx1dlkees – _gabrielShapir0 (@lex_node)

Le pirate veut rendre les fonds. # – Ran Neuner (@cryptomanran)

