Harmony's Cross-Chain Bridge vyťažený za 100 miliónov dolárov

Tím Harmony potvrdil, že most Horizon bol využitý za približne 100 miliónov dolárov v rôznych tokenoch.

Harmony Bridge Hit za 100 miliónov dolárov

Harmony, blockchain Proof-of-Stake kompatibilný s EVM, využil svoj krížový reťazový most Horizon pri veľkom narušení bezpečnosti.

1/ Tím Harmony identifikoval krádež, ku ktorej došlo dnes ráno na moste Horizon v hodnote cca. 100 miliónov dolárov. Začali sme spolupracovať s národnými úradmi a forenznými špecialistami s cieľom identifikovať vinníka a získať ukradnuté prostriedky.

Viac?

— Harmónia? (@harmonyprotocol) Júna 23, 2022

Tím Harmony potvrdil v piatkovom rannom príspevku na Twitteri, že Horizon, most, ktorý spája sieť Harmony s reťazcom BNB a Ethereum, bol zneužitý za približne 100 miliónov dolárov v rôznych tokenoch. „Tím Harmony identifikoval krádež, ku ktorej došlo dnes ráno na moste Horizon, v hodnote cca. 100 miliónov dolárov,“ uviedol príspevok z oficiálneho účtu Harmony na Twitteri a dodal, že už spolupracuje s národnými úradmi a forenznými expertmi na identifikácii útočníka a prípadnom získaní ukradnutých prostriedkov.

Podľa údajov o reťazci sa zneužívanie začalo vo štvrtok okolo 12:02 UTC a trvalo približne 15 hodín. Útočník vykonal 16 škodlivých transakcií rôznych veľkostí v rozmedzí od 14,190 30 do 100 ETH predtým, ako tím Harmony zaznamenal útok a zastavil most Horizon, aby zabránil ďalším škodlivým transakciám. Po krádeži rôznych tokenov v hodnote približne XNUMX miliónov dolárov vrátane Frax, akcií Frax, zabaleného Etherea, zabaleného bitcoinu, Aave, Sushi, Tether a Binance USD ich útočník poslal do rôznych peňaženiek a vymenil ich za Ethereum na decentralizovanej burze Uniswap, a potom previedol ukradnuté prostriedky späť na pôvodná peňaženka.

Nezvyčajné pre tieto typy exploitov, útočník sa ešte nepokúsil anonymizovať ukradnuté prostriedky prostredníctvom protokolu o ochrane osobných údajov, ako je Tornado Hotovosť. V následnom tweete tím Harmony uviedol, že spolupracuje s Federálnym úradom pre vyšetrovanie a viacerými firmami v oblasti kybernetickej bezpečnosti na sledovaní a identifikácii útočníka. Zapojenie amerických úradov znamená, že existuje možnosť, že Úrad pre kontrolu zahraničných aktív pridá útočníkovu peňaženku na svoje sankcionované adresy. čierna listina, čím jej účinne znemožníte pranie ukradnutých finančných prostriedkov prostredníctvom Tornado Cash.

Zatiaľ čo Harmony ešte nezverejnila konkrétne podrobnosti o tom, ako došlo k zneužitiu, experti na blockchainovú bezpečnosť špekulovali, že útočník pravdepodobne získal prístup k najmenej dvom z piatich súkromných kľúčov peňaženky s viacerými podpismi, ktorá ovláda smart kontrakty Horizon bridge. Tento vektor útoku už bol zvýraznený v apríli Ape Dev, pseudonymný zakladateľ rizikovej firmy Chainstride Capital zameranej na kryptomeny. Povedali, že preskúmali most Harmony na Ethereu a zistili, že „ak budú kompromitovaní dvaja zo štyroch multisig signatárov, uvidíme ďalší 9-ciferný hack“, čo sa zdá byť presne to, čo sa stalo včera.

Mudit Gupta, šéf informačnej bezpečnosti v Polygon, komentoval že to nebol „blockchain hack“, ale „tradičný hack“, a špekulovalo sa, že útočník pravdepodobne kompromitoval servery, na ktorých sú umiestnené kľúče peňaženky Horizon s viacerými podpismi. „Keď sa dostali na server, mohli pristupovať ku kľúčom, ktoré boli uložené v otvorenom texte na podpisovanie legitímnych transakcií,“ povedal a dodal, že exploit je „hrozne podobný“ 551.8 milióna dolárov od Axie Infinity. Ronin Network využiť od marca. V apríli americké ministerstvo financií potvrdené že za zneužitím siete Ronin stojí severokórejská štátom podporovaná skupina pre počítačovú kriminalitu známa ako Lazarus Group.

Spoločnosť Harmony uviedla, že jej nedôveryhodný bitcoinový most nebol ovplyvnený exploitom a že bude pokračovať v informovaní verejnosti o nové informácie, keď prídu.

Zverejnenie: V čase písania tohto článku vlastnil autor tohto diela ETH a niekoľko ďalších kryptomien.