Harmony приостановила работу эксплуатируемого моста и сообщила властям о взломе.
Блокчейн-сеть первого уровня Harmony Protocol (ONE) заявила 24 июня, что хакер использовал ее мост horizon, и токены на мосту были украдены на сумму около $100 млн.
1/ Команда Harmony обнаружила кражу, произошедшую сегодня утром на мосту Horizon на сумму около $100 млн. Мы начали работать с национальными властями и судебными экспертами, чтобы установить личность преступника и вернуть украденные средства.
Подробнее
— Harmony (@harmonyprotocol) 23 июня 2022
Атака является одной из крупнейших за последние недели. Harmony заявила, что она начала «работать с национальными органами и судебными экспертами, чтобы определить виновного и вернуть украденные средства».
Команда добавила, что эксплойт не затронул мост Bitcoin (BTC), не требующий доверия, и активы, хранящиеся в децентрализованных хранилищах, остаются в безопасности.
Мост Horizon соединяет протокол Harmony с другими сетями, такими как Ethereum и Binance Smart Chain, позволяя осуществлять переводы криптовалют, стейблкоинов и NFT между блокчейном Harmony и сетью.
Harmony была предупреждена об уязвимости
В апреле разработчик блокчейна и исследователь Ape Dev предупредил о слабой безопасности Harmony. Они предсказали, что злоумышленник может использовать ее в атаке, которая может привести к потерям до 330 миллионов долларов.
Безопасность моста в настоящее время зависит от кошелька multisig, размещенного по адресу 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. У него четыре владельца, двое из которых должны дать согласие на выполнение произвольной транзакции (т.е. слив $330 млн). pic.twitter.com/sgYmyPrYgf
— Ape Dev (@_apedev) Апрель 1, 2022
Согласно имеющейся информации, злоумышленник перевел средства в 12 транзакциях, используя три адреса атаки. В результате они смогли перевести средства в такие токены, как ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD и AAG.
Злоумышленник смог получить контроль над MultiSigWallet и подтвердил транзакции для прямого перевода украденных средств.
Мост Horizon протокола Harmony был взломан, и ранее сегодня было слито 100 миллионов долларов.
Мост был по сути мультисигма 2 из 5. Если любые 2 адреса говорили ему перевести кому-то средства, он это делал.
Хакер скомпрометировал 2 адреса и заставил их слить деньги. pic.twitter.com/hv1JWDy9WQ
— Mudit Gupta (@Mudit__Gupta) June 24, 2022
Хотя личность хакера остается неизвестной, тот факт, что команда Harmony могла предотвратить атаку, вызовет вопросы о ее безопасности среди криптосообщества.
По состоянию на момент публикации большинство украденных токенов все еще находились в кошельке злоумышленника. Однако злоумышленник начал конвертировать украденные средства в ETH через Uniswap.
Эксплуататор моста @harmonyprotocol 0x0d04…ed00 украл 11 различных токенов erc-20 и 13 100 Ether с моста.
Затем они перевели другие токены erc-20 на два других кошелька для обмена через uniswap и другие dexs обратно на eth, и, наконец, обратно на 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
— MistTrack️ (@MistTrack_io) June 24, 2022