La mattina del 2 giugno 2023 alcuni “DeFi Hacker” hanno preso di nuovo di mira la piattaforma bridge cross-chain PolyNetwork, una dei leader del settore con 16 miliardi di dollari movimentati e 1 miliardo di transazioni eseguite.
Che cosa è un bridge?
I bridge cross-chain sono piattaforme che consentono il trasferimento di asset digitali tra diverse blockchain. Poiché le blockchain sono solitamente separate e non possono comunicare direttamente tra loro, i bridge cross-chain fungono da collegamenti tra di esse, consentendo agli utenti di spostare token o altre risorse da una blockchain all’altra.
Un bridge utilizza smart contract per bloccare gli asset su una blockchain di origine e rilasciarli su una blockchain di destinazione. Questo processo comporta la convalida delle transazioni e la sincronizzazione delle informazioni tra le diverse blockchain coinvolte nel trasferimento. In sostanza, il bridge crea una sorta di canale attraverso il quale gli asset possono essere trasferiti in modo sicuro e trasparente.
I bridge cross-chain hanno un ruolo importante nell’interoperabilità delle blockchain e consentono agli utenti di sfruttare le funzionalità offerte dalle diverse reti senza dover swappare i propri token su exchange centralizzati.
Cosa è successo a Poly Network?
Non è ancora chiaro cosa abbia permesso agli attaccanti di manipolare il bridge Poly Network. Quello che sappiamo è che sono stati creati miliardi di dollari di token su diverse blockchain tra cui: 24 miliardi di BNB e BUSD sulla blockchain Metis, 999 trilioni di SHIB sulla blockchain Heco e milioni di altri token su altre reti come Polygon o Avalanche.
È probabile quindi che gli hacker abbiano manipolato il bridge ingannandolo e facendogli emettere token che in realtà non esistevano.
Pur non trovando abbastanza liquidità per poter swappare tutti i token appena creati, gli hacker sono comunque riusciti a venderne una parte, per un totale ci circa 400 ETH, che al cambio attuale corrispondono a circa 700.000€.
I precedenti
L’attacco di domenica 2 giugno non è il primo nella storia di Poly Network: l’11 agosto 2021 un hacker violò la piattaforma per rubare circa 610 milioni di dollari in criptovalute. L’attacco fu possibile a causa della gestione errata dei diritti di accesso tra due importanti smart contract di Poly Network: EthCrossChainManager ed EthCrossChainData. A seguito dell’attacco, Poly Network chiese a tutti i miner e agli exchange di criptovalute di inserire nella lista nera i fondi rubati, rendendoli di fatto inaccessibili per l’hacker.
Alcune ore dopo l’hacker restituì metà dei fondi a Poly Network e bloccò l’altra metà in un wallet multi-sig che richiedeva la sua autorizzazione per qualsiasi transazione.
Dopo aver rifiutato un’offerta di lavoro e 500.000€ come premio per aver scovato la vulnerabilità, l’hacker ha restituito l’ultima metà dei fondi alla piattaforma per poi sparire. Il primo exploit di Poly Network è considerato il più grande hack della storia nel settore DeFi.
