Japońska giełda kryptowalutowa Liquid zhakowana! Przestępcy ukradli ponad 90 milionów dolarów…

Jakiś czas temu mogliśmy być świadkami jednej z największych kradzieży kryptowalut (600 milionów dolarów) w historii – oczywiście mowa tu o incydencie z Poly Network:

Important Notice:
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker's following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71

— Poly Network (@PolyNetwork2) August 10, 2021

Koniec końców, historia zakończyła się happy endem – atakujący zwrócił skradzione środki, firma zaś postanowiła wynagrodzić go kwotą w wysokości 500 tysięcy dolarów oraz zaoferowała mu pracę na stanowisku głównego doradcy ds. cyberbezpieczeństwa: 

#PolyNetwork has no intention of holding #mrwhitehat legally responsible and cordially invites him to be our Chief Security Advisor. $500,000 bounty is on the way. Whatever #mrwhitehat chooses to do with the bounty in the end, we have no objections. https://t.co/4IaZvyWRGz

— Poly Network (@PolyNetwork2) August 17, 2021

W gorszym położeniu znajduje się japońska giełda kryptowalutowa Liquid, która w wyniku ataku straciła ponad 90 milionów dolarów:

Important Notice:
We are sorry to announce that #LiquidGlobal warm wallets were compromised, we are moving assets into the cold wallet.

We are currently investigating and will provide regular updates. In the meantime deposits and withdrawals will be suspended.

— Liquid Global Official (@Liquid_Global) August 19, 2021

W tym przypadku, jak wynika z analizy firmy Elliptic, przestępcy próbują ukryć pochodzenie skradzionych tokenów ETH przy użyciu inteligentnych kontraktów Tornado Cash, które w opisywanym przypadku pełnią funkcję tzw. miksera kryptowalut:

The Liquid exchange thief has just begun the next step of the laundering – sending $10 million of stolen ETH through Tornado Cash, a smart contract-based mixer.
Another example of: Steal tokens ➡️Use DEX to convert to ETH ➡️ Send ETH through Tornado Cashhttps://t.co/JiBSXoRsbd

— Elliptic (@elliptic) August 20, 2021

Jeśli posiadasz pokaźną liczbę kryptowalut i boisz się, że giełda kryptowalutowa, na której przechowywane są Twoje środki, zostanie zhakowana, to warto zastanowić się nad wyborem bezpieczniejszego rozwiązania, takiego jak np. zimny portfel (cold wallet). W praktyce oznacza to, że Twoje środki będą przechowywane offline, np. w formie papierowej, na pendrivie lub bezpośrednio w Twoim urządzeniu. Najpopularniejszym rozwiązaniem z klasy cold storage są jednak portfele sprzętowe, takie jak np. Trezor: 

~ Jakub Bielaszewski