Harmonyjev križni most iskorišten za 100 milijuna dolara

Harmony tim je potvrdio da je Horizonov most iskorišten za otprilike 100 milijuna dolara u raznim tokenima.

Harmony Bridge Hit za 100 milijuna dolara

Harmony, EVM kompatibilan Proof-of-Stake blockchain, iskoristio je svoj Horizon cross-chain most u velikom kršenju sigurnosti.

1/ Harmony tim je identificirao krađu koja se jutros dogodila na mostu Horizon u iznosu od cca. 100 milijuna dolara. Počeli smo surađivati ​​s nacionalnim vlastima i forenzičkim stručnjacima kako bismo identificirali krivca i povratili ukradena sredstva.

Više?

— Harmonija? (@harmonyprotocol) Lipnja 23, 2022

Harmony tim je u petak ujutro u objavi na Twitteru potvrdio da je Horizon, most koji povezuje Harmony mrežu s BNB lancem i Ethereumom, iskorišten za oko 100 milijuna dolara u raznim tokenima. “Tim Harmony identificirao je krađu koja se jutros dogodila na mostu Horizon u iznosu od cca. 100 milijuna dolara”, stoji u objavi sa službenog Harmony Twitter računa, dodajući da već surađuje s nacionalnim vlastima i forenzičkim stručnjacima kako bi identificirali napadača i potencijalno povratili ukradena sredstva.

Prema on-chain podacima, eksploatacija je započela oko 12:02 UTC u četvrtak i trajala je oko 15 sati. Napadač je izvršio 16 zlonamjernih transakcija različitih veličina, u rasponu od 14,190 do 30 ETH prije nego što je Harmony tim primijetio napad i zaustavio Horizon bridge kako bi spriječio daljnje zlonamjerne transakcije. Nakon što je ukrao različite tokene u vrijednosti od približno 100 milijuna dolara, uključujući Frax, Frax Shares, omotan Ethereum, omotan Bitcoin, Aave, Sushi, Tether i Binance USD, napadač ih je poslao u različite novčanike, zamijenio ih za Ethereum na decentraliziranoj burzi Uniswap, a zatim ukradena sredstva prenio natrag u izvorni novčanik.

Neuobičajeno za ove vrste eksploatacije, napadač još nije pokušao anonimizirati ukradena sredstva putem protokola o privatnosti kao što je Tornado gotovina. U naknadnom Tweetu, tim Harmonya izjavio je da surađuje s Federalnim istražnim uredom i više tvrtki za cyber sigurnost na praćenju i identifikaciji napadača. Uključenost američkih vlasti znači da postoji mogućnost da će Ured za kontrolu strane imovine dodati napadačev novčanik na svoje sankcionirane adrese staviti na crnu listu, čime se zapravo onemogućuje pranje ukradenih sredstava putem Tornado Casha.

Iako Harmony još nije podijelio konkretne detalje o tome kako je došlo do eksploatacije, stručnjaci za sigurnost blockchaina nagađaju da je napadač vjerojatno dobio pristup najmanje dva od pet privatnih ključeva novčanika s više potpisa koji kontroliraju pametne ugovore Horizon bridge. Ovaj vektor napada je već bio istaknut u travnju od strane Ape Deva, pseudonimnog osnivača poduzetničke tvrtke Chainstride Capital usmjerene na kriptovalute. Rekli su da su istražili Harmony bridge na Ethereumu i otkrili da "ako su dva od četiri potpisnika s više znakova ugrožena, vidjet ćemo još jedan hakiranje od 9 cifara", što se čini da se upravo dogodilo jučer.

Mudit Gupta, glavni službenik za informacijsku sigurnost u Poligonu, komentirao da ovo nije bio "blockchain hak", već "tradicionalni hak", i nagađao da je napadač vjerojatno kompromitirao poslužitelje na kojima su smješteni ključevi Horizonovog novčanika s više potpisa. "Kada uđu u poslužitelj, mogli su pristupiti ključevima koji su se čuvali u otvorenom tekstu za potpisivanje zakonitih transakcija", rekao je, dodajući da je eksploatacija "jezivo slično" Axie Infinity-jevom 551.8 milijuna dolara Ronin mreža iskorištavati od ožujka. U travnju Ministarstvo financija SAD-a potvrđen da je sjevernokorejska državno sponzorirana skupina za kibernetički kriminal, poznata kao Lazarus Group, iza iskorištavanja mreže Ronin.

Harmony je izjavio da njegov nepouzdani Bitcoin bridge nije utjecao na eksploataciju i da će nastaviti ažurirati javnost novim informacijama kako budu pristizale.

Otkrivanje: U vrijeme pisanja, autor ovog djela posjedovao je ETH i nekoliko drugih kriptovaluta.