#PolyNetwork o cómo en un abrir y cerrar de ojos un fallo de seguridad ha revolucionado el mundo de las #DeFi

Por: David Rodríguez Regueira, Digital Forensics Investigator and Malware Analyst de Roots Inc.

Esta semana, el protocolo de interoperabilidad cross-chain PolyNetwork, que permite intercambiar tokens entre diferentes blockchains, sufrió un ataque que dio lugar a la sustracción de cerca de US$600 millones de los bloques Ethereum, Polygon, y BSC.

Dada su magnitud, expertos consideran que se trata del mayor hackeo DeFi de la historia. Inicialmente, se pensó que las claves privadas de los keepers, empleadas para firmar las acciones antes de ser ejecutadas, fueron comprometidas, permitiendo vulnerar la seguridad y ordenar al Smart Contract transferir fondos a las cuentas del atacante.

Sin embargo, análisis más recientes, sugieren que una mala implementación del Smart Contract “EthCrossChainManager” ha sido la fuente del problema. Una de sus funciones, “verifyHeaderAndExecuteTx”, puede emplearse para realizar una transacción cross-chain, la cual, tras realizar una serie de verificaciones, ejecuta la función “_executeCrossChainTx”, que se encarga de realizar la llamada al contrato objetivo. 

Lo curioso de esta implementación reside en que no impide que el contrato objetivo sea “EthCrossChainData”, cuya función “putCurEpochConPubKeyBytes” modifica las claves públicas de los keepers. Con ello, es posible que el atacante pudiese cambiar estas claves, por las suyas propias, para firmar las acciones que le permitieron retirar los fondos.

De todas formas, toca esperar a la versión oficial de PolyNetwork en la que se explique cuál fue realmente el fallo de seguridad vulnerado aun que se menciona que el atacante ha comenzado a devolver los fondos. Esto debe de servir como una lección para todos, ya que por muy robusta y eficaz que sea una implementación, si no se audita correctamente a la vista queda que puede dar lugar a un gran desastre, no solo económico, sino de reputación empresarial.