Layer-1 blokķēdes tīkls Harmony Protocol (ONE) 24. jūnijā paziņoja, ka hakeris izmantoja tā horizonta tiltu un uz tilta tika nozagti žetoni aptuveni 100 miljonu USD vērtībā.
1/ Harmony komanda ir konstatējusi šorīt uz Horizon tilta notikušu zādzību apm. 100 miljoni dolāru. Esam sākuši sadarbību ar valsts iestādēm un tiesu medicīnas speciālistiem, lai noskaidrotu vainīgo un atgūtu nozagtos līdzekļus.
Vairāk?
— Harmonija? (@harmonyprotocol) Jūnijs 23, 2022
Uzbrukums ir viens no lielākajiem pēdējo nedēļu laikā. Harmony paziņoja, ka ir sākusi "sadarboties ar valsts iestādēm un tiesu medicīnas speciālistiem, lai identificētu vainīgo un atgūtu nozagtos līdzekļus".
Komanda piebilda, ka ekspluatācija neietekmēja neuzticamo Bitcoin (BTC) Tilts un decentralizētās glabātuvēs glabātie līdzekļi joprojām ir drošībā.
Horizon tilts savieno Harmony protokolu ar citiem tīkliem, piemēram, Ethereum un Binance Smart Chain, ļaujot pārsūtīt kriptovalūtas, stabilas monētas un NFT starp Harmony blokķēdi un tīklu.
Harmonija tika brīdināta par ievainojamību
Aprīlī blokķēdes izstrādātājs un pētnieks Ape Dev brīdināja par Harmonijas vājo drošību. Viņi prognozēja, ka ļaunprātīga puse varētu to izmantot uzbrukumā, kas var radīt līdz pat 330 miljonu dolāru zaudējumus.
Tilta drošība pašlaik ir atkarīga no multisig maka, kas izvietots 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Tam ir četri īpašnieki, no kuriem diviem ir jāsaņem piekrišana, lai veiktu patvaļīgu darījumu (ti, iztukšotu 330 miljonus USD). pic.twitter.com/sgYmyPrYgf
— Ape Dev (@_apedev) Aprīlis 1, 2022
Saskaņā ar pieejamo informāciju, uzbrucējs pārvietoja līdzekļus 12 darījumos, izmantojot trīs uzbrukuma adreses. Rezultātā viņi varētu pārvietot līdzekļus uz tādiem marķieriem kā ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD un AAG.
Uzbrucējs spēja iegūt kontroli pār MultiSigWallet un apstiprināja darījumus, lai tieši pārskaitītu nozagtos līdzekļus.
Saskaņas protokola Horizon tilts tika uzlauzts, un šodien tika novadīti 100 miljoni dolāru.
Tilts būtībā bija 2 no 5 multisig. Ja kādas 2 adreses lika kādam pārskaitīt līdzekļus, tas arī notika.
Hakeris kompromitēja 2 adreses un lika tām iztērēt naudu. ?? pic.twitter.com/hv1JWDy9WQ
- Mudit Gupta (@Mudit__Gupta) Jūnijs 24, 2022
Lai gan hakera identitāte joprojām nav zināma, fakts, ka Harmony komanda varēja novērst uzbrukumu, radīs jautājumus par tā drošību kriptogrāfijas kopienā.
Lielākā daļa nozagto žetonu joprojām atradās uzbrucēja rokās seifs pēc preses laika. Tomēr uzbrucējs ir sācis pārvērst nozagtos līdzekļus ETH, izmantojot Uniswap.
Jūsu darbs IR Klientu apkalpošana @harmonyprotokols tilta izmantotājs 0x0d04…ed00 nozaga no tilta 11 dažādus erc-20 marķierus un 13,100 XNUMX ētera.
Pēc tam viņi pārsūtīja citus erc-20 marķierus uz diviem citiem makiem, lai, izmantojot uniswap un citus dex, mainītu atpakaļ uz eth, un visbeidzot to atpakaļ uz 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
— MistTrack (@MistTrack_io) Jūnijs 24, 2022
Avots: https://cryptoslate.com/harmony-protocols-horizon-bridge-exploited-100m-stolen/