Блокчейн Horizon Bridge до рівня гармонії 1 був використаний на 100 мільйонів доларів у альткойнах, які обмінюються на ефір (ETH).
Злом може виправдати раніше висловлені занепокоєння спільноти щодо надійності двох із чотирьох мультипідписів, які, як повідомляється, захищають міст.
Починаючи приблизно з 7:08 ранку EST до 7:26 ранку EST, було здійснено 11 трансакцій made з мосту за різними жетонами. З тих пір вони почали відправка токени в інший гаманець для обміну на ETH на Uniswap децентралізований обмін (DEX), а потім відправити ETH назад у вихідний гаманець.
1/ Команда Harmony виявила крадіжку, яка сталася сьогодні вранці на мосту Horizon на суму прибл. 100 млн доларів. Ми почали співпрацю з національними органами влади та криміналістами, щоб встановити винного та вилучити викрадені кошти.
більше
— Гармонія (@harmonyprotocol) 23 Червня, 2022.
Поки що Frax (FRAX), Wrapped Ether (wETH). Aave (НАДАЙТЕ), SushiSwap (СУШИ), Frax Share (FXS), AAG (AAG), Binance USD (BUSD), Dai (DAI), Tether (USDT), загорнуті BTC (wBTC) і монети доларів США (USDC) були вкрадені з мосту через цей експлойт.
Horizon Bridge полегшує передачу токенів між Harmony і мережею Ethereum, Binance Chain і Bitcoin. Гармонія, оператор мосту, оголошений пізно в четвер, що міст був зупинений. Зазначається, що міст BTC і його активи не постраждали від атаки.
Команда Harmony також повідомила, що працює з «національними органами влади та експертами-криміналістами», щоб визначити, хто несе відповідальність. Обов’язково послідує патоморфологія.
Розробники та співзасновник Harmony Нік Уайт не відповіли на запити про коментарі. Harmony — це блокчейн рівня 1, який використовує консенсус Proof-of-Stake (PoS). Його рідним маркером є ONE.
Раніше висловлювалися занепокоєння щодо надійності гаманця Horizon для кількох підписів на Ethereum, який вимагав лише двох із чотирьох підписаних осіб, щоб вивести кошти. Засновник венчурного фонду Chainstride Capital, орієнтованого на криптовалюту Ape Dev зазначив, у Twitter 2 квітня, що низька кількість необхідних підписників залишить міст відкритим для «ще одного 9-значного злому».
Безпека мосту наразі залежить від гаманця з мультисигналом, розгорнутого за адресою 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Він має чотирьох власників, двоє з яких повинні дати згоду, щоб здійснити довільну транзакцію (тобто витягнути 330 мільйонів доларів). pic.twitter.com/sgYmyPrYgf
— Мавпа Дев (@_apedev) Квітень 1, 2022
Прогноз Ape Dev, схоже, втілився в реальність, оскільки тепер активи мосту зменшилися на 100 мільйонів доларів.
Він далеко не єдиний розробник криптовалют, який турбується про безпеку токен-бриджів.
Віталік Бутерін обговорив проблеми з токен-мостами у січні цього року на Reddit. Він стверджував, що коли мости експлуатуються, це загрожує ліквідності кожного постраждалого ланцюга. Він додав, що в міру збільшення кількості токен-мостів загроза 51% атаки на один ланцюг може становити більший ризик зараження для інших.
Після його прогнозу, Міст жетонів метра, Ронінський міст Axie Infinity і Червоточинний міст кожен з них експлуатувався на суму майже 1 мільярд доларів.
Національна влада та експерти-криміналісти повинні розслідувати *вас*, щоб з’ясувати, які порушення правил безпеки дозволили цій «крадіжці».
- Кріс Блек (@ChrisBlec) 24 Червня, 2022.
Мультипідписи є постійною проблемою безпеки під час атак. Міст Роніна захищали дев’ять валідаторів, лише п’ять з яких були необхідні для перевірки транзакції. Зловмисник взяв під контроль необхідні п’ять валідаторів і витягнув активи на суму понад 600 мільйонів доларів.
Схоже, ринок ще не відреагував на атаку, оскільки ціни на всі монети та токени, про які йдеться, не зробили істотного зміни. Однак за останні 7.4 години ONE знизився на 24%, причому більша частина падіння припала на останні 5 годин. Коштує $0.024 відповідно до CoinGecko.
Джерело: https://cointelegraph.com/news/breaking-harmony-one-s-horizon-bridge-hacked-for-100m