Хакер воспользовался уязвимостью в протоколе межсетевого моста, создав криптоактивы BUSD, BNB и SHIB на различных блокчейнах. В частности, хакеры сгенерировали 24 млрд BUSD и BNB на Metis и 999 трлн SHIB на Heco. Позднее команда Poly Network уточнила, что эксплойт затронул 57 криптоактивов в 10 блокчейнах, включая Ethereum, BNB Chain, Polygon, Avalanche, Heco и Metis. Предполагаемая прибыль хакера от взлома колеблется от $400 000 до $4 млн.
В воскресенье, 2 июля, платформа приостановила обслуживание пользователей. Руководство Poly Network сообщило, что обратилось за помощью к централизованным биржам и правоохранительным органам. Специалисты платформы порекомендовали держателям криптовалют вывести ликвидность и разблокировать токены LP, поставленные пользователями.
Аналитик по безопасности проектов DeFi, использующий в Твиттере псевдоним 0xArhat, написал, что эксплойт возник в результате уязвимости смарт-контракта. Это позволило хакеру создать вредоносный параметр с фальшивой подписью валидатора и заголовком блока. Смарт-контракт принял этот параметр, и хакер смог обойти процесс проверки, после чего стал выпускать токены из пула эфиров Poly Network и отправлять их на свой адрес в блокчейнах Metis, BNB Chain и Polygon.
Эта процедура неоднократно повторялась, что позволило накопить большой объем криптоактивов. По словам аналитика, в какой-то момент на кошельке хакера накопились криптоактивы на сумму около $42 млрд, однако злоумышленник смог продать лишь часть из них, из-за ограниченного рыночного спроса.
Это уже не первый случай, когда Poly Network сталкивается с крупной атакой. В августе 2021 года платформа потеряла около $611 млн. Однако в том же месяце взломщик вернул все украденные криптоактивы. После того взлома Poly Network совместно с платформой Immunefi запустила программу по обнаружению уязвимостей.