У четвер Harmony, блокчейн PoS (proof-of-stake), втратив 100 мільйонів доларів через крадіжку свого мосту, пов’язаного з Ethereum.
Анонімний хакер викрав кілька активів, включаючи ETH, BNB, USDT, USDC і DAI. Ці активи раніше були підключені з Ethereum в блокчейн Harmony через міст Horizon.
У відповідь Harmony заявила, що співпрацює з правоохоронними органами та фірмами з кібербезпеки. Тим не менш, команда не пояснила, як відбувся злом.
У той час як команда Harmony ще не надала офіційних даних про вбивство, експерти з безпеки запропонували деяку інформацію про злому. За оцінками Мудіт Гупта, головний спеціаліст із інформаційної безпеки Polygon, зловмисник отримав контроль над гаманцем із кількома підписами, використаним під час розгортання Harmony's міст
A Гаманець із кількома підписами – це обліковий запис смарт-контракту, який керується кількома закритими ключами, розділеними між кількома особами, а не однією особою. Гупта знайшов це кошти гаманця мосту вимагали дозволу принаймні двох із загальних п’яти закритих ключів, тому tможливо, зловмисник витягнув два приватні ключі та отримав контроль.
«Міст був, по суті, 2 з 5 багатозначними. Якщо будь-які 2 адреси вказували йому переказати кошти комусь, він так і зробив», – Гупта сказав. «Хакер зламав 2 адреси та змусив їх злити гроші».
CertiK, компанія, що займається охороною смарт-контрактів, підтвердила, що хакер насправді націлився на гаманець мосту з кількома підписами. У п’ятничному звіті CertiK сказав: «Зловмисник здійснив це [експлойт], якимось чином контролюючи власника MultiSigWallet, щоб він викликав метод confirmTransaction() безпосередньо для передачі великої кількості токенів з мосту на Harmony».
Це історія, що розвивається. Harmony не відразу відповів на запит про коментар.
© 2022 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
про автора
Вішал Чавла – репортер, який висвітлював тонкощі технологічної індустрії понад півдесяти років. До того, як приєднатися до The Block, Вішал працював у таких медіа-фірмах, як Crypto Briefing, IDG ComputerWorld і CIO.com.
Джерело: https://www.theblock.co/post/154029/harmonys-100-million-hacker-took-control-of-its-multi-signature-wallet-analysts-say?utm_source=rss&utm_medium=rss