Poly Network opera en las blockchains Binance Smart Chain, Ethereum y Polygon. Los tokens se intercambian entre las blockchains usando un smart contract que contiene instrucciones sobre cuándo liberar los activos a las contrapartes.
Uno de los smart contracts que usa Poly Network para transferir tokens entre blockchains mantiene grandes cantidades de liquidez para permitir a los usuarios intercambiar tokens de manera eficiente, según la firma de inteligencia cripto CipherTrace.
Poly Network tuiteó el martes que una investigación preliminar descubrió que los hackers explotaron una vulnerabilidad en este smart contract.
Según un análisis de las transacciones tuiteado por Kelvin Fichter, un programador de Ethereum, los hackers parecieron anular las instrucciones del contrato para cada una de las tres blockchains y desviaron los fondos a tres direcciones de wallet, ubicaciones digitales para almacenar tokens. Estas fueron rastreadas y publicadas más tarde por Poly Network.
Los atacantes robaron fondos en más de 12 criptomonedas diferentes, incluyendo ether y un tipo de bitcoin, según la empresa de análisis forense de blockchain Chainalysis.
Una persona que afirmó haber perpetrado el hackeo dijo que había detectado un “bug”, sin especificar, y que quería “exponer la vulnerabilidad” antes de que otros pudieran explotarla, según mensajes digitales publicados en la red Ethereum y difundidos por Chainalysis. Reuters no pudo verificar la autenticidad de los mensajes.
¿A DÓNDE FUE EL DINERO?
Coindesk informó el martes que los hackers inicialmente intentaron transferir algunos de los activos de una de las tres wallets al liquidity pool Curve.fi, pero esa transferencia fue rechazada. Alrededor de $100 million fueron retirados de otra de las wallets y depositados en el liquidity pool Ellipsis Finance, informó también Coindesk.
No se pudo contactar de inmediato a Curve.fi y Ellipsis Finance para obtener comentarios.
Pero la madrugada del miércoles los hackers comenzaron a transferir los activos de vuelta a Poly Network y para el jueves por la mañana habían devuelto $342 million en tokens, quedando pendientes $268 million robados de la cadena Ethereum, dijo Poly Network. Alrededor de las 10 a.m. ET (1400 GMT) del jueves, Poly Network dijo que seguía comunicándose con los hackers, quienes estaban transfiriendo gradualmente de vuelta los activos restantes.