Перакрыжаваны мост Harmony эксплуатуецца за 100 мільёнаў долараў

Ключавыя вынас

  • Кросс-ланцужны мост Harmony Horizon быў выкарыстаны каля 100 мільёнаў долараў у розных токенах.
  • Зламыснік прадаў усе скрадзеныя сродкі для Ethereum, але павінен адмыць іх праз пратакол прыватнасці, напрыклад Tornado Cash.
  • Паведамляецца, што каманда Harmony працуе з Федэральным бюро расследаванняў і некалькімі фірмамі па кібербяспецы, каб ідэнтыфікаваць зламысніка.

Адправіць гэтую артыкул

Каманда Harmony пацвердзіла, што мост Horizon быў выкарыстаны прыкладна на 100 мільёнаў долараў у розных токенах.

Harmony Bridge Hit за 100 мільёнаў долараў

Harmony, EVM-сумяшчальны блокчейн Proof-of-Stake, быў выкарыстаны кросланцужны мост Horizon для сур'ёзнага парушэння бяспекі.

Каманда Harmony пацвердзіла ў пятніцу раніцай у Twitter, што Horizon, мост, які злучае сетку Harmony з BNB Chain і Ethereum, быў выкарыстаны на суму каля 100 мільёнаў долараў у розных токенах. «Каманда Harmony выявіла крадзеж, які адбыўся сёння раніцай на мосце Horizon на суму прыбл. 100 мільёнаў долараў», — гаворыцца ў паведамленні з афіцыйнага акаўнта Harmony у Twitter, у якім дадаецца, што ён ужо працуе з нацыянальнымі ўладамі і экспертамі-крыміналістамі, каб ідэнтыфікаваць зламысніка і, магчыма, атрымаць выкрадзеныя сродкі.

Згодна з дадзенымі па сетцы, эксплойт пачаўся каля 12:02 UTC у чацвер і доўжыўся каля 15 гадзін. Зламыснік выканаў 16 шкоднасных транзакцый рознага памеру, ад 14,190 30 да 100 ETH, перш чым каманда Harmony заўважыла атаку і спыніла мост Horizon, каб прадухіліць далейшыя шкоднасныя транзакцыі. Пасля крадзяжу розных токенаў на суму каля XNUMX мільёнаў долараў, у тым ліку Frax, Frax Shares, Ethereum, Bitcoin, Aave, Sushi, Tether і Binance USD, зламыснік адправіў іх на розныя кашалькі, памяняў на Ethereum на дэцэнтралізаванай біржы Uniswap, а затым перадаў скрадзеныя сродкі назад арыгінальны кашалёк.

Зламыснік яшчэ не спрабаваў ананімізаваць выкрадзеныя сродкі праз пратакол канфідэнцыяльнасці, напрыклад Смерч наяўнымі. У наступным твіте каманда Harmony заявіла, што працуе з Федэральным бюро расследаванняў і некалькімі фірмамі па кібербяспецы, каб адсочваць і ідэнтыфікаваць зламысніка. Удзел уладаў ЗША азначае, што існуе верагоднасць таго, што Упраўленне па кантролі за замежнымі актывамі дадасць кашалёк зламысніка да сваіх санкцыянаваных адрасоў чорны спіс, фактычна адключаючы яго ад адмывання скрадзеных сродкаў праз Tornado Cash.

Нягледзячы на ​​тое, што Harmony яшчэ не падзяліўся канкрэтнымі падрабязнасцямі аб тым, як адбыўся эксплойт, эксперты па бяспецы блокчейн выказалі здагадку, што зламыснік, верагодна, атрымаў доступ як мінімум да двух з пяці прыватных ключоў кашалька з некалькімі подпісамі, які кантралюе разумныя кантракты Horizon bridge. Гэты вектар атакі ўжо быў выдзелены у красавіку Ape Dev, псеўданім заснавальнік крыпта-арыентаванай венчурнай фірмы Chainstride Capital. Яны сказалі, што даследавалі мост Harmony на Ethereum і выявілі, што «калі двое з чатырох падпісантаў з множнымі подпісамі будуць скампраметаваныя, мы ўбачым яшчэ адзін 9-значны ўзлом», што, здаецца, было менавіта тым, што адбылося ўчора.

Мудзіт Гупта, галоўны супрацоўнік інфармацыйнай бяспекі ў Polygon, пракаментаваў што гэта быў не «ўзлом блокчейна», а «традыцыйны ўзлом», і выказаў здагадку, што зламыснік, хутчэй за ўсё, узламаў серверы, на якіх размяшчаюцца ключы кашалька Horizon з некалькімі подпісамі. «Патрапіўшы на сервер, яны маглі атрымаць доступ да ключоў, якія захоўваліся ў адкрытым тэксце для падпісання законных транзакцый», - сказаў ён, дадаўшы, што эксплойт «жудасна падобны» на 551.8 мільёна даляраў Axie Infinity Сетка Ronin эксплуатаваць з сакавіка. У красавіку Міністэрства фінансаў ЗША пацверджаны што за эксплойтам Ronin Network стаяла спансаваная дзяржавай кіберзлачынная група Паўночнай Карэі, вядомая як Lazarus Group.

Harmony заявіла, што яго недаверлівы біткойн-мост не закрануў эксплойт і што ён будзе працягваць абнаўляць грамадскасць новай інфармацыяй па меры яе паступлення.

Раскрыццё інфармацыі: на момант напісання артыкула аўтар гэтай артыкула валодаў ETH і некалькімі іншымі криптовалютами.

Адправіць гэтую артыкул

Крыніца: https://cryptobriefing.com/harmonys-cross-chain-bridge-exploited-for-100m/?utm_source=feed&utm_medium=rss