Harmonyjev križni most izkoriščen za 100 milijonov dolarjev

Ekipa Harmony je potrdila, da je bil most Horizon izkoriščen za približno 100 milijonov dolarjev v različnih žetonih.

Harmony Bridge Hit za 100 milijonov dolarjev

Harmony, EVM združljiv blockchain Proof-of-Stake, je izkoristil svoj navzkrižni most Horizon za veliko kršitev varnosti.

1/ Ekipa Harmony je ugotovila tatvino, ki se je zgodila danes zjutraj na mostu Horizon v višini cca. 100 milijonov dolarjev. Začeli smo sodelovati z nacionalnimi organi in forenzičnimi strokovnjaki, da bi identificirali krivca in pridobili ukradena sredstva.

Več?

- Harmonija ? (@harmonyprotocol) Junij 23, 2022

Ekipa Harmony je v petkovi jutranji objavi na Twitterju potrdila, da je bil Horizon, most, ki povezuje omrežje Harmony z verigo BNB in ​​Ethereumom, izkoriščen za okoli 100 milijonov dolarjev v različnih žetonih. »Ekipa Harmony je ugotovila tatvino, ki se je zgodila danes zjutraj na mostu Horizon v vrednosti pribl. 100 milijonov dolarjev,« je zapisala objava z uradnega računa Harmony na Twitterju in dodala, da že sodeluje z nacionalnimi organi in forenzičnimi strokovnjaki, da bi identificirali napadalca in potencialno pridobili ukradena sredstva.

Po podatkih v verigi se je izkoriščanje začelo v četrtek okoli 12 UTC in je trajalo približno 02 ur. Napadalec je izvedel 15 zlonamernih transakcij različnih velikosti, od 16 do 14,190 ETH, preden je ekipa Harmony opazila napad in zaustavila Horizon bridge, da bi preprečila nadaljnje zlonamerne transakcije. Po kraji približno 30 milijonov dolarjev različnih žetonov, vključno z Fraxom, Frax Shares, zavitim Ethereumom, zavitimi Bitcoini, Aave, Sushi, Tether in Binance USD, jih je napadalec poslal v različne denarnice in jih zamenjal za Ethereum na decentralizirani borzi Uniswap, in nato ukradena sredstva prenesel nazaj na izvorna denarnica.

Nenavadno za te vrste podvigov, napadalec še ni poskušal anonimizirati ukradenih sredstev s protokolom o zasebnosti, kot je TornadoCash. V nadaljnjem Tweetu je skupina Harmony navedla, da sodeluje z Zveznim preiskovalnim uradom in številnimi podjetji za kibernetsko varnost pri sledenju in identifikaciji napadalca. Vpletenost ameriških oblasti pomeni, da obstaja možnost, da bo Urad za nadzor tujih sredstev dodal denarnico napadalca na svoje sankcionirane naslove. črno, s čimer se dejansko onemogoči pranje ukradenih sredstev prek Tornado Cash.

Medtem ko Harmony še ni delil posebnih podrobnosti o tem, kako je prišlo do izkoriščanja, so strokovnjaki za varnost blockchain domnevali, da je napadalec verjetno dobil dostop do vsaj dveh od petih zasebnih ključev denarnice z več podpisi, ki nadzoruje pametne pogodbe Horizon bridge. Ta vektor napada je že bil poudarjeno aprila Ape Dev, psevdonimni ustanovitelj tveganega podjetja Chainstride Capital, ki se osredotoča na kripto. Povedali so, da so raziskali Harmony bridge na Ethereumu in ugotovili, da "če sta dva od štirih podpisnikov ogrožena, bomo videli še en 9-mestni vdor," kar se zdi, da se je prav včeraj zgodilo.

Mudit Gupta, vodja informacijske varnosti pri Polygonu, komentiral da to ni šlo za "vdiranje v verigo blokov", ampak za "tradicionalni vdor", in domneval, da je napadalec verjetno ogrozil strežnike, ki gostijo ključe denarnice Horizon z več podpisi. "Ko so bili znotraj strežnika, so lahko dostopali do ključev, ki so bili shranjeni v golem besedilu za podpisovanje zakonitih transakcij," je dejal in dodal, da je izkoriščanje "sramljivo podoben" 551.8 milijona dolarjev Axie Infinity. Ronin omrežje izkoriščanje od marca. Aprila ministrstvo za finance ZDA potrjena da za izkoriščanjem Ronin Network stoji severnokorejska skupina za kibernetski kriminal, ki jo sponzorira država, znana kot Lazarus Group.

Harmony je izjavil, da izkoriščanje ni vplivalo na njegov nezaupljiv Bitcoin most in da bo javnost še naprej posodabljal z novimi informacijami, ko bodo prispele.

Razkritje: V času pisanja je bil avtor tega dela lastnik ETH in več drugih kriptovalut.