Па словах аналітыкаў, хакер Harmony з 100 мільёнамі долараў узяў пад кантроль яго кашалёк з некалькімі подпісамі

У чацвер Harmony, блокчэйн з доказам долі (PoS), страціў 100 мільёнаў долараў з-за крадзяжу на сваім мосце, звязаным з Ethereum. 

Ананімны хакер скраў мноства актываў, у тым ліку ETH, BNB, USDT, USDC і DAI. Раней гэтыя актывы былі перакінуты з Ethereum на блокчейн Harmony праз мост Horizon.

У адказ Harmony заявіла, што супрацоўнічае з праваахоўнымі органамі і фірмамі па кібербяспецы. Тым не менш каманда не патлумачыла, як адбыўся ўзлом.

У той час як каманда Harmony яшчэ не прадставіла афіцыйнага пасмяротнага высвятлення, эксперты па бяспецы прапанавалі некаторую інфармацыю пра ўзлом. па Мудзіт Гупта, галоўнага супрацоўніка па інфармацыйнай бяспецы Polygon, злачынец атрымаў кантроль над кашальком з некалькімі подпісамі, які выкарыстоўваўся пры разгортванні Harmony's мост

A кашалёк з некалькімі подпісамі - гэта смарт-кантрактны ўліковы запіс, які кіруецца з дапамогай некалькіх закрытых ключоў, падзеленых паміж некалькімі суб'ектамі, а не адным чалавекам. Гупта знайшоў гэта сродкі кашалька моста патрабавалі дазволу як мінімум ад двух з усіх пяці закрытых ключоў, таму тмагчыма, злачынец здабыў два прыватных ключа і атрымаў кантроль.

«Мост быў па сутнасці 2 з 5 мульты-сігналаў. Калі якія-небудзь 2 адрасы сказалі яму перавесці сродкі камусьці, ён гэта зрабіў», — Гупта сказаў. «Хакер узламаў 2 адрасы і прымусіў іх зліць грошы».

CertiK, фірма па бяспецы смарт-кантрактаў, пацвердзіла, што хакер насамрэч нацэліўся на кашалёк моста з некалькімі подпісамі. У пятнічным дакладзе CertiK сказаў: «Зламыснік здзейсніў гэты [эксплойт], нейкім чынам кантралюючы ўладальніка MultiSigWallet для выкліку confirmTransaction() непасрэдна для перадачы вялікай колькасці токенаў з моста на Harmony». 

Гэта гісторыя, якая развіваецца. Гармонія не адразу адказала на просьбу аб каментарыі.

© 2022 The Block Crypto, Inc. Усе правы абаронены. Гэты артыкул прадастаўляецца выключна ў інфармацыйных мэтах. Ён не прапануецца і не прызначаецца для выкарыстання ў якасці юрыдычных, падатковых, інвестыцыйных, фінансавых ці іншых рэкамендацый.