Key Takeaways
- Ang cross-chain bridge ng Harmony na Horizon ay pinagsamantalahan para sa humigit-kumulang $100 milyon sa iba't ibang mga token.
- Ibinenta ng umaatake ang lahat ng mga ninakaw na pondo para sa Ethereum, ngunit dapat itong labahan sa pamamagitan ng privacy-protocol tulad ng Tornado Cash.
- Ang koponan ng Harmony ay iniulat na nakikipagtulungan sa Federal Bureau of Investigation at maraming cyber security firms upang matukoy ang umaatake.
Ibahagi ang artikulong ito
Ang koponan ng Harmony ay nakumpirma na ang Horizon bridge ay pinagsamantalahan para sa humigit-kumulang $100 milyon sa iba't ibang mga token.
Harmony Bridge Hit sa halagang $100M
Ang Harmony, isang EVM-compatible na Proof-of-Stake blockchain, ay nagkaroon ng Horizon cross-chain bridge na pinagsamantalahan sa isang malaking paglabag sa seguridad.
1/ Natukoy ng Harmony team ang isang pagnanakaw na naganap ngayong umaga sa Horizon bridge na humigit-kumulang. $100MM. Nagsimula na kaming makipagtulungan sa mga pambansang awtoridad at mga forensic specialist upang matukoy ang salarin at makuha ang mga ninakaw na pondo.
Higit pa ?
— Harmony ? (@harmonyprotocol) Hunyo 23, 2022
Kinumpirma ng koponan ng Harmony sa isang post sa Twitter ng Biyernes ng umaga na ang Horizon, ang tulay na nag-uugnay sa Harmony network sa BNB Chain at Ethereum, ay pinagsamantalahan para sa humigit-kumulang $100 milyon sa iba't ibang mga token. “Natukoy ng Harmony team ang isang pagnanakaw na nagaganap ngayong umaga sa Horizon bridge na humigit-kumulang. $100MM,” sabi ng isang post mula sa opisyal na Harmony Twitter account, at idinagdag na nakikipagtulungan na ito sa mga pambansang awtoridad at mga eksperto sa forensic upang matukoy ang umaatake at posibleng makuha ang mga ninakaw na pondo.
Ayon sa on-chain na data, nagsimula ang pagsasamantala sa bandang 12:02 UTC noong Huwebes at tumagal ng humigit-kumulang 15 oras. Nagsagawa ang attacker ng 16 na nakakahamak na transaksyon na may iba't ibang laki, mula 14,190 hanggang 30 ETH bago napansin ng Harmony team ang pag-atake at itinigil ang Horizon bridge upang maiwasan ang higit pang malisyosong mga transaksyon. Pagkatapos magnakaw ng humigit-kumulang $100 milyon na halaga ng iba't ibang mga token, kabilang ang Frax, Frax Shares, balot na Ethereum, balot na Bitcoin, Aave, Sushi, Tether, at Binance USD, ipinadala sila ng attacker sa iba't ibang mga wallet, ipinagpalit ang mga ito para sa Ethereum sa desentralisadong exchange na Uniswap, at pagkatapos ay inilipat ang mga ninakaw na pondo pabalik sa pinanggalingang wallet.
Hindi pangkaraniwan para sa mga ganitong uri ng pagsasamantala, hindi pa sinubukan ng umaatake na i-anonymize ang mga ninakaw na pondo sa pamamagitan ng isang privacy-protocol tulad ng Buhawi Cash. Sa isang follow-up na Tweet, sinabi ng Harmony team na nakikipagtulungan ito sa Federal Bureau of Investigation at maraming cyber security firm para subaybayan at kilalanin ang umaatake. Ang paglahok mula sa mga awtoridad ng US ay nangangahulugan na may posibilidad na idagdag ng Office of Foreign Assets Control ang wallet ng attacker sa mga sanctioned na address nito talaang-itim, na epektibong hindi pinapagana sa paglalaba ng mga ninakaw na pondo sa pamamagitan ng Tornado Cash.
Habang ang Harmony ay hindi pa nagbabahagi ng mga partikular na detalye tungkol sa kung paano nangyari ang pagsasamantala, ang mga eksperto sa seguridad ng blockchain ay nag-isip na ang umaatake ay malamang na nakakuha ng access sa hindi bababa sa dalawa sa limang pribadong key ng multi-signature wallet na kumokontrol sa Horizon bridge smart contracts. Ang attack vector na ito ay dati na naka-highlight noong Abril ni Ape Dev, ang pseudonymous founder ng crypto-focused venture firm na Chainstride Capital. Sinabi nila na inimbestigahan nila ang tulay ng Harmony sa Ethereum at nalaman na "kung nakompromiso ang dalawa sa apat na multisig signer, makakakita tayo ng isa pang 9 figure hack," na mukhang eksakto kung ano ang nangyari kahapon.
Mudit Gupta, ang punong opisyal ng seguridad ng impormasyon sa Polygon, Nagkomento na ito ay hindi isang "blockchain hack" ngunit isang "tradisyonal na hack," at ispekulasyon na malamang na nakompromiso ng attacker ang mga server na nagho-host ng mga susi ng multi-signature wallet ng Horizon. "Sa sandaling nasa loob ng server, maa-access nila ang mga susi na itinago sa plaintext para sa pagpirma ng mga lehitimong transaksyon," aniya, at idinagdag na ang pagsasamantala ay "nakakatakot na katulad" sa $551.8-million ng Axie Infinity Ronin Network katapangang-gawa mula Marso. Noong Abril, ang US Treasury Department mapag- na ang cybercrime group na itinataguyod ng estado ng North Korea na kilala bilang Lazarus Group ang nasa likod ng pagsasamantala ng Ronin Network.
Sinabi ni Harmony na ang walang pinagkakatiwalaang Bitcoin bridge nito ay hindi naapektuhan ng pagsasamantala at patuloy itong mag-a-update sa publiko ng bagong impormasyon sa pagdating nito.
Pagbubunyag: Sa oras ng pagsulat, ang may-akda ng pirasong ito ay nagmamay-ari ng ETH at ilang iba pang mga cryptocurrencies.
Ibahagi ang artikulong ito
Pinagmulan: https://cryptobriefing.com/harmonys-cross-chain-bridge-exploited-for-100m/?utm_source=feed&utm_medium=rss