Harmony е преустановила работата на експлоатирания мост и е информирала властите за хакерската атака.
На 24 юни блокчейн мрежата Harmony Protocol (ONE) заяви, че хакер е експлоатирал нейния мост „Хоризонт“ и токените на моста на стойност около 100 млн. долара са били откраднати.
1/ Екипът на Harmony установи кражба, станала тази сутрин на моста Horizon, на стойност около 100 млн. долара. Започнахме да работим с националните власти и специалисти по криминалистика, за да идентифицираме извършителя и да възстановим откраднатите средства.
Още
– Harmony (@harmonyprotocol) June 23, 2022
Нападението е едно от най-големите през последните седмици. От Harmony заявиха, че са започнали „работа с националните органи и специалисти по съдебна медицина, за да идентифицират извършителя и да възстановят откраднатите средства“.
Екипът допълни, че експлойтът не е засегнал ненадеждния мост на Биткойн (BTC) и активите, съхранявани в децентрализирани трезори, остават в безопасност.
Мостът Horizon свързва протокола Harmony с други мрежи като Ethereum и Binance Smart Chain, като позволява прехвърлянето на криптовалути, стабилни монети и НФТ между блокчейна на Harmony и мрежата.
Harmony беше предупредена за уязвимостта
През април разработчикът на блокчейн и изследовател Ape Dev предупреди за слабата сигурност на Harmony. Те прогнозираха, че злонамерена страна може да я използва в атака, която може да доведе до загуби в размер до 330 млн. долара.
Сигурността на моста в момента се основава на многозначен портфейл, разположен на адрес 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Той има четирима собственици, двама от които трябва да дадат съгласието си, за да се извърши произволна транзакция (т.е. да се източат 330 млн. долара). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) Април 1, 2022
Според наличната информация нападателят е прехвърлил средствата в 12 трансакции, като е използвал три адреса за атака. В резултат на това той е могъл да премести средства в токени като ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD и AAG.
Атакуващият е успял да получи контрол над MultiSigWallet и да потвърди транзакциите, за да прехвърли директно откраднатите средства.
Харизонтният мост на протокола Хармония беше хакнат и по-рано днес бяха източени 100 млн. долара.
Мостът по същество е бил мултисиг 2 от 5. Ако някой от 2 адреса му кажеше да прехвърли средства на някого, той го правеше.
Хакерът е компрометирал 2 адреса и ги е накарал да източат парите. pic.twitter.com/hv1JWDy9WQ
– Mudit Gupta (@Mudit__Gupta) June 24, 2022
Въпреки че самоличността на хакера остава неизвестна, фактът, че екипът на Harmony е могъл да предотврати атаката, ще повдигне въпроси за неговата сигурност сред криптообщността.
Повечето от откраднатите токени все още се намираха в портфейла на нападателя към момента на пресата. Въпреки това, нападателят е започнал да конвертира откраднатите средства в ETH чрез Uniswap.
Използващият моста @harmonyprotocol 0x0d04…ed00 открадна 11 различни токена erc-20 и 13 100 етера от моста.
След това прехвърли други токени erc-20 в два други портфейла, за да ги размени чрез uniswap и други dexs обратно в eth, а накрая го върна обратно на 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
– MistTrack️ (@MistTrack_io) June 24, 2022