Harmonyjev cross-Chain Bridge eksploatisan za 100 miliona dolara

Harmony tim je potvrdio da je Horizont most eksploatisan za oko 100 miliona dolara u raznim tokenima.

Harmony Bridge Hit za 100 miliona dolara

Harmony, EVM kompatibilan Proof-of-Stake blockchain, iskoristio je svoj Horizon cross-chain most u velikom kršenju sigurnosti.

1/ Harmony tim je identifikovao krađu koja se dogodila jutros na mostu Horizon u iznosu od cca. $100MM. Počeli smo da radimo sa nacionalnim vlastima i forenzičkim stručnjacima na identifikaciji krivca i povratku ukradenih sredstava.

Više ?

— Harmonija? (@harmonyprotocol) Juni 23, 2022

Harmony tim je u petak ujutro na Twitteru potvrdio da je Horizon, most koji povezuje Harmony mrežu sa BNB lancem i Ethereumom, eksploatisan za oko 100 miliona dolara u raznim tokenima. “Tim Harmony je identifikovao krađu koja se jutros dogodila na mostu Horizon u iznosu od cca. 100 miliona dolara”, stoji u objavi sa službenog Harmony Twitter naloga, dodajući da već radi s nacionalnim vlastima i forenzičkim stručnjacima na identifikaciji napadača i potencijalnom povratu ukradenih sredstava.

Prema podacima na lancu, eksploatacija je počela oko 12:02 UTC u četvrtak i trajala je oko 15 sati. Napadač je izvršio 16 zlonamjernih transakcija različitih veličina, u rasponu od 14,190 do 30 ETH prije nego što je Harmony tim primijetio napad i zaustavio Horizon bridge kako bi spriječio dalje zlonamjerne transakcije. Nakon što je ukrao različite tokene u vrijednosti od oko 100 miliona dolara, uključujući Frax, Frax Shares, omotani Ethereum, omotani Bitcoin, Aave, Sushi, Tether i Binance USD, napadač ih je poslao u različite novčanike, zamijenio ih za Ethereum na decentraliziranoj berzi Uniswap, a zatim ukradena sredstva prenio nazad na izvorni novčanik.

Neuobičajeno za ove vrste eksploatacije, napadač još nije pokušao anonimizirati ukradena sredstva putem protokola privatnosti kao što je TornadoCash. U nastavku Tweet-a, Harmony tim je naveo da radi sa Federalnim istražnim biroom i više firmi za sajber sigurnost na praćenju i identifikaciji napadača. Uključenost američkih vlasti znači da postoji mogućnost da će Ured za kontrolu strane imovine dodati napadačev novčanik na svoje sankcionisane adrese crna lista, efektivno onemogućivši pranje ukradenih sredstava kroz Tornado Cash.

Iako Harmony još nije podijelio konkretne detalje o tome kako je došlo do eksploatacije, stručnjaci za sigurnost blockchain nagađaju da je napadač vjerovatno dobio pristup najmanje dva od pet privatnih ključeva novčanika s više potpisa koji kontroliraju pametne ugovore Horizon bridge. Ovaj vektor napada je već bio istaknut u aprilu od strane Ape Deva, pseudonimnog osnivača kripto-fokusirane venture firme Chainstride Capital. Rekli su da su istražili Harmony bridge na Ethereumu i otkrili da “ako su dva od četiri potpisnika s više potpisa ugrožena, vidjet ćemo još jedan hak sa 9 cifara,” što se čini upravo ono što se dogodilo juče.

Mudit Gupta, glavni službenik za sigurnost informacija u Poligonu, Komentarisao da ovo nije bio „blockchain hak“, već „tradicionalni hak“, i spekuliše da je napadač verovatno kompromitovao servere na kojima su smešteni ključevi Horizonovog novčanika sa više potpisa. "Kada uđu u server, mogli su pristupiti ključevima koji su čuvani u otvorenom tekstu za potpisivanje legalnih transakcija", rekao je, dodajući da je eksploatacija "jezivo slično" Axie Infinity-jevom 551.8 miliona dolara Ronin Network iskoristiti od marta. U aprilu Ministarstvo finansija SAD potvrđeno da je grupa za kibernetički kriminal u Sjevernoj Koreji, poznata kao Lazarus Group, stajala iza eksploatacije Ronin Network.

Harmony je naveo da njegov nepouzdani Bitcoin bridge nije pogođen eksploatacijom i da će nastaviti da ažurira javnost novim informacijama kako budu pristizale.

Otkrivanje: U vrijeme pisanja, autor ovog djela je posjedovao ETH i nekoliko drugih kriptovaluta.