23. gada 2022. jūnijā Harmony izstrādes komanda paziņoja, ka no Horizon tilta tika izņemti 100 miljoni ASV dolāru, un organizācija paskaidroja, ka tā sadarbojas ar valsts iestādēm un tiesu medicīnas speciālistiem. Saskaņā ar Poligona galvenā informācijas drošības virsnieka Mudita Gupta publicēto kontu, Horizon tilta uzbrucējs, iespējams, pārņēma vadību pār Harmony's Bridge piesaistīto maku ar vairākiem parakstiem.
Harmony's Multi-Sig Exploited Polygon's CSO saka, ka Harmony Protocol dibinātājs ir atradis pierādījumus, ka "privātās atslēgas tika apdraudētas"
Pirms trim dienām Harmony paskaidroja, ka tai tika uzbrukts un komanda bija lieciniece tam, ka no Horizon tilta tika izsūkti 100 miljoni dolāru. “Saskaņas komanda ir konstatējusi šorīt uz Horizon tilta notikušu zādzību apm. $100 [miljoni],” Harmony tweeted ceturtdien. "Mēs esam sākuši strādāt ar valsts iestādēm un tiesu medicīnas speciālistiem, lai identificētu vainīgo un atgūtu nozagtos līdzekļus," piebilda Harmony komanda.
Pēc ekspluatācijas jau nākamajā dienā Poligona galvenais informācijas drošības speciālists Mudits Gupta, teica ka tilts bija 2 no 5 vairāku parakstu shēma, un ikviens, kam ir divas adreses, var pārņemt to kontroli. "Hakeris kompromitēja 2 adreses un lika tām iztērēt naudu," piebilda Gupta. Gupta sacīja, ka, lai gan informācija vēl nav publiska, viņš apkopoja to, kas, viņaprāt, notika uzlaušanas laikā. "Abas adreses, iespējams, bija karstie maki, ko izmantoja, lai noklausītos un apstrādātu likumīgus pārejas darījumus," Gupta Paskaidroja.
"Uzbrucējs kompromitēja serveri(-s), kuros darbojās šie karstie maki," piektdien rakstīja Poligona CSO. “Nokļūstot serverī, viņi varēja piekļūt atslēgām, kas tika glabātas vienkāršā tekstā, lai parakstītu likumīgus darījumus. Servera izmantošana, visticamāk, bija SSH atslēgas kompromiss vai sociālā inženierija. Tas ir šausmīgi līdzīgs tam, kā Ronins tika uzlauzts. Analītiķis vēl piebilda:
Tas nebija "Blockchain Hack". Tas bija "tradicionālais uzlauzums". Es jau vairākus mēnešus esmu lūdzis protokolus, lai līdzās blokķēdes drošībai koncentrētos arī uz tradicionālo drošību…
Turklāt incidenta ziņojums raksta Harmonijas protokola dibinātājs saka: "Komanda ir atradusi pierādījumus, ka privātās atslēgas ir apdraudētas, kā rezultātā tika pārkāpts mūsu Horizon tilts — līdzekļi tika nozagti no tilta Ethereum puses." Harmony dibinātājs arī atzīmēja, ka "konfidencialitāte ir galvenais, lai saglabātu integritāti šajā notiekošajā izmeklēšanā — konkrētas detaļas izlaišana ir mūsu kopienas interesēs aizsargāt sensitīvus datus."
Ko jūs domājat par Harmony ekspluatāciju par 100 miljoniem USD? Paziņojiet mums, ko jūs domājat par šo tēmu tālāk sniegtajā komentāru sadaļā.
Attēlu kredīti: Shutterstock, Pixabay, Wiki Commons
Avots: https://news.bitcoin.com/harmonys-100m-hack-was-due-to-a-compromised-multi-sig-scheme-says-analyst/