23 чэрвеня 2022 года каманда распрацоўшчыкаў Harmony абвясціла, што 100 мільёнаў долараў было выведзена з моста Horizon, і арганізацыя патлумачыла, што супрацоўнічае з нацыянальнымі ўладамі і экспертамі-крыміналістамі. Паводле ўліковага запісу, апублікаванага кіраўніком інфармацыйнай бяспекі Polygon Мудзітам Гуптай, зламыснік Horizon bridge нібыта ўзяў пад кантроль кашалёк з некалькімі подпісамі, выкарыстаны ў мосце Harmony.
CSO Harmony's Multi-Sig Exploited Polygon кажа, што заснавальнік Harmony Protocol знайшоў доказы таго, што «прыватныя ключы былі скампраметаваныя»
Тры дні таму Harmony патлумачыла, што на яе напалі, і каманда стала сведкам таго, што з моста Horizon выцягнулі 100 мільёнаў долараў. «Каманда Harmony выявіла крадзеж, які адбыўся сёння раніцай на мосце Гарызонт, на суму прыбл. $100 [мільёнаў]», «Гармонія чирикнул у чацвер. «Мы пачалі супрацоўнічаць з нацыянальнымі ўладамі і судова-медыцынскімі спецыялістамі, каб выявіць злачынцу і вярнуць скрадзеныя сродкі», — дадала каманда Harmony.
Пасля эксплойта ўжо на наступны дзень галоўны супрацоўнік па інфармацыйнай бяспецы Polygon, Мудзіт Гупта, сказаў што мост быў схемай з некалькімі подпісамі 2 з 5, і кожны, хто валодае двума адрасамі, можа ўзяць яго пад кантроль. «Хакер узламаў 2 адрасы і прымусіў іх зліць грошы», — дадаў Гупта. Гупта сказаў, што пакуль падрабязнасці не апублікаваныя, ён абагульніў тое, што, на яго думку, адбылося падчас узлому. «Два адрасы, верагодна, былі гарачымі кашалькамі, якія выкарыстоўваліся для праслухоўвання і апрацоўкі законных пераходных транзакцый», - сказаў Гупта. растлумачаны.
«Зламыснік скампраметаваў сервер(ы), на якім працавалі гэтыя гарачыя кашалькі», - напісаў у пятніцу Polygon CSO. «Патрапіўшы на сервер, яны маглі атрымаць доступ да ключоў, якія захоўваліся ў адкрытым выглядзе для падпісання законных транзакцый. Серверны эксплойт, верагодна, быў узломам ключа SSH або сацыяльнай інжынерыяй. Гэта жудасна падобна на тое, як узламалі Роніна». Далей аналітык дадаў:
Гэта не быў "узлом блокчэйна". Гэта быў «традыцыйны хак». Ужо некалькі месяцаў я прашу пратаколы засяродзіцца на традыцыйнай бяспецы разам з бяспекай блокчейна...
Акрамя таго, an Даклад інцыдэнту напісана Заснавальнік Harmony Protocol кажа, што «каманда знайшла доказы таго, што прыватныя ключы былі скампраметаваныя, што прывяло да ўзлому нашага моста Horizon — Сродкі былі скрадзеныя з боку моста Ethereum». Заснавальнік Harmony таксама адзначыў, што «канфідэнцыяльнасць з'яўляецца ключавой для захавання цэласнасці ў рамках гэтага расследавання, якое працягваецца - недапамога канкрэтных дэталяў з'яўляецца абаронай канфідэнцыйных даных у інтарэсах нашай супольнасці».
Што вы думаеце пра эксплойт Harmony за 100 мільёнаў долараў? Дайце нам ведаць, што вы думаеце аб гэтай тэме ў раздзеле каментарыяў ніжэй.
крэдыты малюнка: Shutterstock, Pixabay, Wiki Commons
Крыніца: https://news.bitcoin.com/harmonys-100m-hack-was-due-to-a-compromised-multi-sig-scheme-says-analyst/