Harmony Cross-Chain Bridge kasutati 100 miljoni dollari eest

Harmony meeskond on kinnitanud, et Horisondi silda on erinevate märkidena kasutatud ligikaudu 100 miljoni dollari eest.

Harmony Bridge'i hitt 100 miljoni dollari eest

Harmony, EVM-iga ühilduva Proof-of-Stake plokiahel, on lasknud oma Horizoni ahelatevahelist silda ära kasutada suures turvarikkumises.

1/ Harmony meeskond tuvastas täna hommikul Horisondi sillal toimunud varguse summas u. 100 miljonit dollarit. Oleme alustanud koostööd riiklike ametiasutuste ja kohtuekspertiisi spetsialistidega, et tuvastada süüdlane ja tuua välja varastatud raha.

Rohkem?

— Harmoonia? (@harmonyprotocol) Juuni 23, 2022

Harmony meeskond kinnitas reedehommikuses Twitteri postituses, et Horizonit, Harmony võrku BNB keti ja Ethereumiga ühendavat silda, on erinevate märkidena ära kasutatud umbes 100 miljoni dollari eest. “Harmoonia meeskond tuvastas täna hommikul Horisondi sillal toimunud varguse summas ca. 100 miljonit dollarit," seisis ametliku Harmony Twitteri konto postituses, lisades, et see juba teeb koostööd riiklike ametiasutuste ja kohtuekspertidega, et tuvastada ründaja ja potentsiaalselt varastatud raha kätte saada.

Keti andmetel algas ärakasutamine neljapäeval kell 12 UTC ja kestis umbes 02 tundi. Ründaja sooritas 15 erineva suurusega pahatahtlikku tehingut, vahemikus 16 14,190 kuni 30 ETH, enne kui Harmony meeskond rünnakut märkas ja Horizoni silla peatas, et vältida edasisi pahatahtlikke tehinguid. Pärast umbes 100 miljoni dollari väärtuses erinevate žetoonide, sealhulgas Fraxi, Fraxi aktsiate, pakitud Ethereumi, pakendatud Bitcoini, Aave, Sushi, Tetheri ja Binance USD varastamist, saatis ründaja need erinevatesse rahakottidesse, vahetas need detsentraliseeritud börsil Uniswap Ethereumi vastu, ja seejärel kandis varastatud raha tagasi päritolu rahakott.

Seda tüüpi ärakasutamiste puhul pole ründaja veel püüdnud varastatud raha anonüümseks muuta privaatsusprotokolli, näiteks Tornaado sularaha. Järgmises säutsus teatas Harmony meeskond, et teeb ründaja jälitamiseks ja tuvastamiseks koostööd föderaalse juurdlusbüroo ja mitme küberturbefirmaga. USA võimude sekkumine tähendab, et välisvarade kontrolli amet lisab ründaja rahakoti oma sanktsioneeritud aadressidele. Musta Nimekirja, mis takistab sellel tõhusalt Tornado Cashi kaudu varastatud raha pesemist.

Kuigi Harmony ei ole veel jaganud konkreetseid üksikasju selle ärakasutamise kohta, on plokiahela turbeeksperdid oletanud, et ründaja pääses tõenäoliselt ligi vähemalt kahele viiest Horizon Bridge'i nutikaid lepinguid kontrolliva mitme allkirjaga rahakoti privaatvõtmest. See ründevektor oli juba olemas esile aprillis Krüpto-keskse riskikapitalifirma Chainstride Capitali pseudonüümiga asutaja Ape Dev. Nad ütlesid, et on uurinud Harmony silda Ethereumis ja leidsid, et "kui neljast multisigiga allkirjastajast kaks on ohus, näeme veel ühte 9-kujulist häkkimist", mis näib olevat täpselt see, mis eile juhtus.

Mudit Gupta, Polygoni infoturbe juht, kommenteeris et see ei olnud "plokiahela häkkimine", vaid "traditsiooniline häkkimine", ja oletas, et ründaja ohustas tõenäoliselt Horizoni mitme allkirjaga rahakoti võtmeid majutavaid servereid. "Serverisse sisenedes pääsesid nad ligi võtmetele, mida hoiti seaduslike tehingute allkirjastamiseks lihttekstina," ütles ta ja lisas, et ärakasutamine on Axie Infinity 551.8 miljoni dollari suuruse kasutusega "õudselt sarnane". Ronini võrk ära kasutama märtsist. Aprillis USA rahandusministeerium kinnitatud et Ronini võrgustiku ärakasutamise taga oli Põhja-Korea riiklikult toetatud küberkuritegevuse rühmitus Lazarus Group.

Harmony teatas, et ärakasutamine ei mõjutanud tema usaldust Bitcoini silda ja et see jätkab avalikkuse värskendamist uue teabega, kui see saabub.

Avalikustamine: selle artikli kirjutamise ajal kuulus selle artikli autorile ETH ja mitu muud krüptovaluutat.