Layer-1 blockchain tinklo Harmony Protocol (ONE) birželio 24 d. sakė, kad įsilaužėlis išnaudojo savo horizonto tiltą ir buvo pavogta maždaug 100 mln. USD vertės žetonų ant tilto.
1/ Harmony komanda nustatė vagystę, įvykusią šį rytą ant Horizonto tilto. 100 mln. USD. Pradėjome bendradarbiauti su nacionalinėmis institucijomis ir teismo medicinos specialistais, siekdami nustatyti kaltininką ir atgauti pavogtas lėšas.
Daugiau?
– Harmonija? (@harmonyprotocol) Birželio 23, 2022
Išpuolis yra vienas didžiausių pastarosiomis savaitėmis. „Harmony“ pranešė, kad pradėjo „dirbti su nacionalinėmis institucijomis ir teismo medicinos specialistais, kad nustatytų kaltininką ir atgautų pavogtas lėšas“.
Komanda pridūrė, kad išnaudojimas nepaveikė nepatikimo Bitcoin (BTC) Tiltas ir decentralizuotose saugyklose saugomi turtai išlieka saugūs.
Horizon tiltas sujungia Harmony protokolą su kitais tinklais, tokiais kaip Ethereum ir Binance Smart Chain, leisdamas perkelti kriptovaliutas, stabilias monetas ir NFT tarp Harmony blockchain ir tinklo.
Harmony buvo įspėta apie pažeidžiamumą
Balandį blockchain kūrėjas ir tyrinėtojas Ape Dev įspėjo, apie silpną Harmony apsaugą. Jie prognozavo, kad piktybiška šalis gali ja pasinaudoti per ataką, kuri gali atnešti nuostolių iki 330 mln.
Šiuo metu tilto saugumas priklauso nuo multisig piniginės, esančios 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Ji turi keturis savininkus, iš kurių du turi duoti sutikimą, kad būtų atliktas savavališkas sandoris (ty išleisti 330 mln. USD). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) Balandis 1, 2022
Pagal turimą informaciją, užpuolikas perkėlė lėšas per 12 operacijų naudodamas tris atakos adresus. Dėl to jie galėtų perkelti lėšas į tokius žetonus kaip ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD ir AAG.
Užpuolikas sugebėjo valdyti „MultiSigWallet“ ir patvirtino sandorius, kad pavogtos lėšos būtų pervestos tiesiogiai.
„Harmony Protocol“ Horizon tiltas buvo nulaužtas ir anksčiau šiandien buvo nusausinta 100 mln.
Tiltas iš esmės buvo 2 iš 5 multisig. Jei 2 adresai liepė kam nors pervesti lėšas, tai padarė.
Įsilaužėlis sukompromitavo 2 adresus ir privertė juos išleisti pinigus. ?? pic.twitter.com/hv1JWDy9WQ
- Mudit Gupta (@Mudit__Gupta) Birželio 24, 2022
Nors įsilaužėlio tapatybė nežinoma, faktas, kad „Harmony“ komanda galėjo užkirsti kelią atakai, kriptovaliutų bendruomenei sukels klausimų dėl jo saugumo.
Dauguma pavogtų žetonų vis dar buvo užpuoliko piniginė spaudos metu. Tačiau užpuolikas pradėjo konvertuoti pavogtas lėšas į ETH per Uniswap.
Šios @harmonyprotocol tilto eksploatatorius 0x0d04…ed00 pavogė 11 skirtingų erc-20 žetonų ir 13,100 XNUMX eterio nuo tilto.
Tada jie perkėlė kitus erc-20 žetonus į dvi kitas pinigines, kad pakeistų per uniswap ir kitus deksus atgal į eth ir galiausiai į 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
– „MistTrack“ (@MistTrack_io) Birželio 24, 2022
Šaltinis: https://cryptoslate.com/harmony-protocols-horizon-bridge-exploited-100m-stolen/