Layer-1 plokiahela võrgu harmooniaprotokoll (ONE) ütles 24. juunil, et häkker kasutas ära tema horisondi silda ja umbes 100 miljoni dollari väärtuses sillal olevaid žetoone varastati.
1/ Harmony meeskond tuvastas täna hommikul Horisondi sillal toimunud varguse summas u. 100 miljonit dollarit. Oleme alustanud koostööd riiklike ametiasutuste ja kohtuekspertiisi spetsialistidega, et tuvastada süüdlane ja tuua välja varastatud raha.
Rohkem?
— Harmoonia? (@harmonyprotocol) Juuni 23, 2022
Rünnak on viimaste nädalate üks suuremaid. Harmony teatas, et on alustanud koostööd riiklike ametiasutuste ja kohtuekspertiisi spetsialistidega, et tuvastada süüdlane ja tuua välja varastatud raha.
Meeskond lisas, et ärakasutamine ei mõjutanud usaldusväärset Bitcoini (BTC) Sild ja detsentraliseeritud varahoidlates hoitavad varad jäävad turvaliselt.
Horizoni sild ühendab Harmony protokolli teiste võrkudega, nagu Ethereum ja Binance Smart Chain, võimaldades krüptovaluutade, stabiilsete müntide ja NFT-de ülekandmist Harmony plokiahela ja võrgu vahel.
Harmonyt hoiatati haavatavuse eest
Aprillis alustas plokiahela arendaja ja uurija Ape Dev hoiatas Harmony nõrga turvalisuse kohta. Nad ennustasid, et pahatahtlik osapool võib seda ära kasutada rünnakus, mis võib kaasa tuua kuni 330 miljoni dollari suuruse kahju.
Silla turvalisus sõltub praegu multisig-rahakotist, mille asukoht on 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Sellel on neli omanikku, kellest kahel on nõusolek meelevaldse tehingu tegemiseks (st 330 miljoni dollari tühjendamiseks). pic.twitter.com/sgYmyPrYgf
— Ape Dev (@_apedev) Aprill 1, 2022
Järgi kättesaadav teave, liigutas ründaja raha 12 tehinguga, kasutades kolme ründeaadressi. Selle tulemusena saaksid nad raha liigutada sellistesse märkidesse nagu ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD ja AAG.
Ründaja suutis MultiSigWalleti üle kontrolli saada ja kinnitas tehingud varastatud raha otse ülekandmiseks.
Harmony Protocoli Horizoni sild häkiti sisse ja 100 miljonit dollarit tühjendati täna varem.
Sild oli sisuliselt 2/5 multisig. Kui mõni 2 aadressi käskis tal kellelegi raha üle kanda, siis see ka tegi.
Häkker kompromiteeris 2 aadressi ja pani need raha kurnama. ?? pic.twitter.com/hv1JWDy9WQ
- Mudit Gupta (@Mudit__Gupta) Juuni 24, 2022
Kuigi häkkeri isik on teadmata, tekitab tõsiasi, et Harmony meeskond oleks võinud rünnaku ära hoida, krüptokogukonnas küsimusi selle turvalisuse kohta.
Enamik varastatud žetoonidest oli endiselt ründaja omas rahakott pressiaja seisuga. Ründaja on aga asunud Uniswapi kaudu varastatud raha ETH-ks konverteerima.
. @harmonyprotokoll Bridge Exploiter 0x0d04…ed00 varastas sillalt 11 erinevat erc-20 žetoonit ja 13,100 XNUMX eetrit.
Seejärel kandsid nad teised erc-20 märgid kahte teise rahakotti, et vahetada need uniswapi ja teiste dexide kaudu tagasi ethi-sse ja lõpuks tagasi 0x0d04…ed00-sse. pic.twitter.com/HY5JepVrPu
— MistTrack (@MistTrack_io) Juuni 24, 2022
Allikas: https://cryptoslate.com/harmony-protocols-horizon-bridge-exploited-100m-stolen/