Блокчейн-мережа рівня 1 Протокол Harmony (ONE) заявив 24 червня, що хакер скористався його мостом горизонту, і було вкрадено токенів на суму приблизно 100 мільйонів доларів.
1/ Команда Harmony виявила крадіжку, яка сталася сьогодні вранці на мосту Horizon на суму прибл. 100 млн доларів. Ми почали співпрацю з національними органами влади та криміналістами, щоб встановити винного та вилучити викрадені кошти.
Більше ?
— Гармонія? (@harmonyprotocol) 23 Червня, 2022.
Атака стала однією з найбільших за останні тижні. Harmony повідомила, що розпочала «працювати з національними органами влади та експертами-криміналістами, щоб встановити винного та вилучити викрадені кошти».
Команда додала, що експлойт не вплинув на ненадійний біткойн (БТД) Міст і активи, що зберігаються в децентралізованих сховищах, залишаються в безпеці.
Міст Horizon з’єднує протокол Harmony з іншими мережами, такими як Ethereum та Binance Smart Chain, що дозволяє передавати криптовалюти, стейблкоіни та NFT між блокчейном Harmony і мережею.
Гармонію попередили про вразливість
У квітні розробник і дослідник блокчейну Ape Dev попередили про слабку безпеку Гармонії. Вони передбачили, що зловмисник може використати його для атаки, яка може призвести до збитків до 330 мільйонів доларів.
Безпека мосту наразі залежить від гаманця з мультисигналом, розгорнутого за адресою 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Він має чотирьох власників, двоє з яких повинні дати згоду, щоб здійснити довільну транзакцію (тобто витягнути 330 мільйонів доларів). pic.twitter.com/sgYmyPrYgf
— Мавпа Дев (@_apedev) Квітень 1, 2022
За оцінками доступна інформація, зловмисник перемістив кошти 12 транзакціями, використовуючи три адреси атаки. В результаті вони могли переміщувати кошти на такі токени, як ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD і AAG.
Зловмисник зміг отримати контроль над MultiSigWallet і підтвердив транзакції для безпосереднього переказу вкрадених коштів.
Міст Horizon Harmony Protocol було зламано, а 100 мільйонів доларів витрачено сьогодні.
По суті, міст був 2 з 5 мультисиг. Якщо будь-які 2 адреси сказали йому переказати кошти комусь, він зробив.
Хакер зламав 2 адреси та змусив їх злити гроші. ?? pic.twitter.com/hv1JWDy9WQ
- Мудіт Гупта (@Mudit__Gupta) 24 Червня, 2022.
Хоча особа хакера залишається невідомою, той факт, що команда Harmony могла запобігти атаці, викличе питання щодо його безпеки серед крипто-спільноти.
Більшість викрадених жетонів досі була у зловмисника кошелек станом на час друку. Однак зловмисник почав конвертувати викрадені кошти в ETH через Uniswap.
Команда @harmonyprotocol експлуататор мосту 0x0d04…ed00 вкрав з мосту 11 різних токенів erc-20 і 13,100 XNUMX ефірів.
Потім вони передали інші токени erc-20 до двох інших гаманців, щоб поміняти їх через uniswap та інші dexs назад на eth, і, нарешті, вони повернулися до 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
— MistTrack (@MistTrack_io) 24 Червня, 2022.
Джерело: https://cryptoslate.com/harmony-protocols-horizon-bridge-exploited-100m-stolen/