Harmony's Cross-chain tilts tika izmantots par 100 miljoniem USD

Harmony komanda ir apstiprinājusi, ka Horizon tilts dažādos žetonos ir izmantots par aptuveni 100 miljoniem USD.

Harmony Bridge hits par 100 miljoniem dolāru

Harmony, ar EVM saderīga Proof-of-Stake blokķēde, ir licis izmantot Horizon šķērsķēžu tiltu nopietnā drošības pārkāpumā.

1/ Harmony komanda ir konstatējusi šorīt uz Horizon tilta notikušu zādzību apm. 100 miljoni dolāru. Esam sākuši sadarbību ar valsts iestādēm un tiesu medicīnas speciālistiem, lai noskaidrotu vainīgo un atgūtu nozagtos līdzekļus.

Vairāk?

— Harmonija? (@harmonyprotocol) Jūnijs 23, 2022

Harmony komanda piektdienas rīta Twitter ierakstā apstiprināja, ka Horizon, tilts, kas savieno Harmony tīklu ar BNB ķēdi un Ethereum, tika izmantots par aptuveni 100 miljoniem USD dažādos žetonos. “Saskaņas komanda ir konstatējusi šorīt uz Horizon tilta notikušu zādzību apm. 100 miljoni dolāru,” teikts ierakstā no oficiālā Harmony Twitter konta, piebilstot, ka tā jau sadarbojas ar valsts iestādēm un tiesu medicīnas ekspertiem, lai identificētu uzbrucēju un, iespējams, atgūtu nozagtos līdzekļus.

Saskaņā ar ķēdes datiem ekspluatācija sākās ceturtdien ap pulksten 12:02 UTC un ilga aptuveni 15 stundas. Uzbrucējs veica 16 dažāda lieluma ļaunprātīgus darījumus, sākot no 14,190 30 līdz 100 ETH, pirms Harmony komanda pamanīja uzbrukumu un apturēja Horizon tiltu, lai novērstu turpmākus ļaunprātīgus darījumus. Pēc aptuveni XNUMX miljonu dolāru vērtas dažādu marķieru nozagšanas, tostarp Frax, Frax Shares, iesaiņota Ethereum, iesaiņota Bitcoin, Aave, Sushi, Tether un Binance USD, uzbrucējs tos nosūtīja uz dažādiem makiem, apmainīja tos pret Ethereum decentralizētajā biržā Uniswap. un pēc tam pārskaitīja nozagtos līdzekļus atpakaļ uz izcelsmes maku.

Retāk šāda veida ļaunprātīgas izmantošanas gadījumā uzbrucējs vēl nav mēģinājis anonimizēt nozagtos līdzekļus, izmantojot privātuma protokolu, piemēram, Tornado nauda. Pēcpārbaudes tviterī Harmony komanda paziņoja, ka tā sadarbojas ar Federālo izmeklēšanas biroju un vairākām kiberdrošības firmām, lai izsekotu un identificētu uzbrucēju. ASV varas iestāžu iesaistīšanās nozīmē, ka pastāv iespēja, ka Ārvalstu aktīvu kontroles birojs pievienos uzbrucēja maku savām sankcionētajām adresēm. ierakstīt melnajā sarakstā, efektīvi atspējojot to no nozagto līdzekļu legalizēšanas, izmantojot Tornado Cash.

Lai gan Harmony vēl nav dalījusies ar konkrētu informāciju par to, kā notika ļaunprātīga izmantošana, blokķēdes drošības eksperti ir pieļāvuši, ka uzbrucējs, iespējams, ir ieguvis piekļuvi vismaz divām no piecām privātajām atslēgām no vairāku parakstu maka, kas kontrolē Horizon tilta viedos līgumus. Šis uzbrukuma vektors jau bija iezīmēts aprīlī Ape Dev, pseidonīms kriptovalūtu riska uzņēmuma Chainstride Capital dibinātājs. Viņi teica, ka ir izmeklējuši Harmony tiltu Ethereum un atklājuši, ka "ja divi no četriem multisig parakstītājiem tiks apdraudēti, mēs redzēsim vēl vienu 9 figūru uzlaušanu", kas, šķiet, ir tieši tas, kas notika vakar.

Mudits Gupta, Poligona galvenais informācijas drošības speciālists, komentēja ka tas nebija "blokķēdes uzlaušana", bet gan "tradicionāls uzlauzts", un pieļāva, ka uzbrucējs, iespējams, ir apdraudējis serverus, kas mitina Horizon vairāku parakstu maka atslēgas. “Nonākot serverī, viņi varēja piekļūt atslēgām, kas tika glabātas vienkāršā tekstā, lai parakstītu likumīgus darījumus,” viņš sacīja, piebilstot, ka šī izmantošana ir “baismīgi līdzīga” Axie Infinity 551.8 miljonu dolāru vērtībā. Ronina tīkls izmantot no marta. Aprīlī ASV Valsts kases departaments apstiprināts ka Ziemeļkorejas valsts sponsorētā kibernoziedzības grupa, kas pazīstama kā Lazarus Group, bija aiz Ronin tīkla ļaunprātīgas izmantošanas.

Harmony paziņoja, ka tā uzticamo Bitcoin tiltu ekspluatācija neietekmēja un ka tā turpinās informēt sabiedrību ar jaunu informāciju, tiklīdz tā nonāks.

Informācijas atklāšana: rakstīšanas laikā šī raksta autoram piederēja ETH un vairākas citas kriptovalūtas.