Polkatrain się wykoleił. Projekt ekosystemu Polkadot traci 3 miliony USD

W dniu 5 kwietnia 2021 roku projekt Polkatrain ucierpiał w wyniku ataku arbitrażowego. Efektem ataku była utrata 3 milionów dolarów. Polkatrain to zdecentralizowana platforma fundarisingowa działająca w ekosystemie Polkadot.

Atak został wykryty przez agencję ds. cyberbezpieczeństwa SlowMist. Firma wskazała, że celem hakerów był kontrakt Polkatrain z funkcjonalnością swap i mechanizmem rabatów o nazwie POLT_LB. Według przeprowadzonej analizy, atakujący wykorzystali błędy w funkcji aktualizacji systemu.

W tym przypadku, gdy użytkownicy kupują natywny token Polkatrain PLOT, są uprawnieni do otrzymania pewnej ilości rabatu. Konstrukcja systemu wysyła rabaty poprzez funkcję transferu, skąd przejmuje je funkcja aktualizacji. SlowMist wyjaśnia, jakie błędy w funkcji aktualizacji wykorzystali napastnicy:

Ponieważ funkcja aktualizacji nie ustawia maksymalnej ilości rabatów w puli, ani nie określa, czy suma zużyła rabaty, złośliwi arbitrażyści mogą nadal wywoływać funkcję wymiany, aby wymienić token i uzyskać kontrakt”.

Polkatrain potwierdza włamanie

Polkatrain potwierdził incydent w oświadczeniu. Firma poinformowała, że w najbliższych dniach podejmie dalsze działania.

Zespół Polkatrain zidentyfikował i zweryfikował, że incydent z włamaniem jest złośliwym atakiem hakera, wykorzystał on problem podobny do tolerancji poślizgu

Platforma zdradziła, że udało się już zidentyfikować nazwisko hakera jako Mr. Jiang.

Good new!!!The community has already find the personal information about the Hacker,Mr. Jiang.Many people known the news, in order to avoid someone pretend to be the official ones to let hacker pay back to himself, we will announce an official address only from this twitter.

— PolkaTrain (@polkatrain) April 6, 2021

Co ciekawe, Polkatrain nie podał kwoty, która została utracona w wyniku włamania. Co więcej, platforma wezwała hakera do zwrotu skradzionych środków lub narażenia się na areszt w chińskiej celi.

Atak zasila łączną sumę skumulowanych środków utraconych w wyniku blockchainowych włamań. Według SlowMist kryptowalutowe projekty w wyniku ataków hakerskich straciły już łącznie 14,5 miliarda dolarów.