Перехресний міст Harmony експлуатується за 100 мільйонів доларів

Команда Harmony підтвердила, що міст Horizon було використано приблизно на 100 мільйонів доларів у різних токенах.

Harmony Bridge Hit за 100 мільйонів доларів

Harmony, EVM-сумісний блокчейн Proof-of-Stake, використовував крос-ланцюговий міст Horizon для серйозного порушення безпеки.

1/ Команда Harmony виявила крадіжку, яка сталася сьогодні вранці на мосту Horizon на суму прибл. 100 млн доларів. Ми почали співпрацю з національними органами влади та криміналістами, щоб встановити винного та вилучити викрадені кошти.

Більше ?

— Гармонія? (@harmonyprotocol) 23 Червня, 2022.

Команда Harmony підтвердила в п’ятницю вранці в Twitter, що Horizon, міст, який з’єднує мережу Harmony з BNB Chain та Ethereum, був використаний на суму близько 100 мільйонів доларів у різних токенах. «Команда Harmony виявила крадіжку, яка сталася сьогодні вранці на мосту Horizon на суму прибл. 100 мільйонів доларів», – йдеться у дописі з офіційного облікового запису Harmony у Twitter, додаючи, що компанія вже працює з національними органами влади та судово-медичними експертами, щоб ідентифікувати зловмисника та потенційно повернути викрадені кошти.

Згідно з даними в мережі, експлойт розпочався близько 12:02 UTC у четвер і тривав близько 15 годин. Зловмисник виконав 16 шкідливих транзакцій різного розміру, від 14,190 30 до 100 ETH, перш ніж команда Harmony помітила атаку і зупинила міст Horizon, щоб запобігти подальшим зловмисним транзакціям. Після викрадення різних токенів на суму приблизно XNUMX мільйонів доларів, включаючи Frax, Frax Shares, загорнутий Ethereum, загорнутий Bitcoin, Aave, Sushi, Tether і Binance USD, зловмисник відправив їх у різні гаманці, обміняв на Ethereum на децентралізованій біржі Uniswap, а потім перерахував викрадені кошти назад вихідний гаманець.

Незвичайний для подібних типів експлойтів, зловмисник ще не намагався анонімізувати вкрадені кошти за допомогою протоколу конфіденційності, наприклад Торнадо Кеш. У наступному твіті команда Harmony заявила, що вона співпрацює з Федеральним бюро розслідувань і кількома фірмами з кібербезпеки, щоб відстежити та ідентифікувати зловмисника. Залучення влади США означає, що існує ймовірність того, що Управління з контролю за іноземними активами додасть гаманець зловмисника до своїх санкціонованих адрес. чорний список, фактично вимкнувши його від відмивання вкрадених коштів через Tornado Cash.

Хоча Harmony ще не поділився конкретними деталями про те, як стався експлойт, експерти з безпеки блокчейну припустили, що зловмисник, ймовірно, отримав доступ принаймні до двох із п’яти приватних ключів гаманця з кількома підписами, який контролює смарт-контракти Horizon bridge. Цей вектор атаки вже був виділений у квітні Ape Dev, псевдонім засновника крипто-орієнтованої венчурної фірми Chainstride Capital. Вони сказали, що досліджували міст Harmony на Ethereum і виявили, що «якщо двоє з чотирьох підписувачів із множинними підписами будуть скомпрометовані, ми побачимо ще один 9-значний злом», що, здається, саме те, що сталося вчора.

Мудіт Гупта, головний спеціаліст із інформаційної безпеки компанії Polygon, прокоментував що це був не «злом блокчейну», а «традиційний злом», і припустив, що зловмисник, ймовірно, зламав сервери, на яких розміщені ключі гаманця Horizon з кількома підписами. «Потрапивши на сервер, вони могли отримати доступ до ключів, які зберігалися у відкритому тексті для підписання законних транзакцій», — сказав він, додавши, що експлойт «жахливо схожий» на 551.8 мільйона доларів Axie Infinity. Мережа Ronin експлуатувати з березня. У квітні Міністерство фінансів США підтверджений що спонсорована державою Північна Корея кіберзлочинна група, відома як Lazarus Group, стоїть за експлойтом Ronin Network.

Harmony заявила, що його ненадійний біткойн-міст не постраждав від експлойту, і що він продовжуватиме оновлювати громадськість новою інформацією по мірі її надходження.

Розкриття: на момент написання статті автор цієї статті володів ETH та кількома іншими криптовалютами.