- Крыптаіндустрыя часта становіцца сведкам нападаў, і Harmony стала нядаўняй ахвярай аднаго з такіх актаў.
- Невядомаму хакеру ўдалося выкрасці некалькі актываў, такіх як BNB, ETH і г.д., якія былі перакінуты мостам ад Ethereum да Harmony.
- Неэтычны акцёр атрымаў кантроль над кашальком з некалькімі подпісамі, які выкарыстоўваўся пры разгортванні Гармоніі мост, падкрэсліў галоўны дырэктар па інфармацыйнай бяспецы Polygon.
Крыптавалютная індустрыя стала сведкам некалькіх узломаў і нападаў з моманту свайго існавання. І выпадак з Harmony у чацвер, калі блокчэйн Proof-of-Stake (PoS) страціў 100 мільёнаў долараў з-за крадзяжу на сваім мосце, звязаным з Ethereum, з'яўляецца нядаўнім прыкладам гэтага.
Невядомаму хакеру ўдалося выкрасці некалькі актываў, такіх як BNB, ETH, USDC, DAI і USDT. Раней актывы былі перакінуты з Ethereum на гармонія блокчейн праз мост Horizon.
Затым Harmony падкрэсліла, што гэта працуе з праваахоўнымі органамі і арганізацыямі кібербяспекі. Але незразумела, як менавіта адбыўся напад.
Хоць каманда ззаду гармонія не прадставіў дакладнага ўяўлення пра што-небудзь, але, па словах галоўнага супрацоўніка службы інфармацыйнай бяспекі Polygon, Мудзіта Гупты, неэтычны акцёр атрымаў кантроль над кашальком з некалькімі подпісамі, які выкарыстоўваўся пры разгортванні моста Harmony.
Кашалёк з некалькімі подпісамі - гэта смарт-кантрактны ўліковы запіс, які кіруецца рознымі закрытымі ключамі, падзеленымі паміж некалькімі суб'ектамі, а не адным чалавекам. Па словах Гупты, ён выявіў, што фонд кашалька моста патрабуе дазволу як мінімум ад двух з пяці закрытых ключоў, каб зламыснік мог атрымаць доступ да двух прыватных ключоў і атрымаць паўнамоцтвы.
Ён падкрэсліў, што мост быў мультысігналам два з пяці. І калі любыя два адрасы просяць пералічыць сродкі каму-небудзь. А зламыснік скампраметаваў два адрасы і выкарыстаў іх для пералівання сродкаў.
Кампанія па бяспецы разумных кантрактаў Certik распавяла пра тое, што зрабіў неэтычны акцёр; было падкрэслена, што зламыснік ажыццявіў эксплойт, у пэўнай ступені кантралюючы ўладальніка MultiSigWallet, каб выклікаць транзакцыі пацверджання непасрэдна для перадачы вялікай колькасці токенаў з Гармоніі мост
Крыніца: https://www.thecoinrepublic.com/2022/06/25/harmonys-harmony-disrupted-analysts-says-100m-attacker-gained-control-of-multi-sig-wallet/