Harmonia zawiesiła operacje wykorzystanego mostu i poinformowała władze o włamaniu.
Sieć blockchain warstwy 1 Harmony Protocol (ONE) powiedziała 24 czerwca, że haker wykorzystał jej mostek horizon, a znajdujące się na nim tokeny o wartości około 100 milionów dolarów zostały skradzione.
1/ Zespół Harmony zidentyfikował kradzież mającą miejsce dziś rano na mostku Horizon w wysokości około 100MM$. Rozpoczęliśmy współpracę z władzami krajowymi i specjalistami kryminalistyki w celu zidentyfikowania sprawcy i odzyskania skradzionych środków.
Więcej
– Harmony (@harmonyprotocol) 23 czerwca 2022
Atak jest jednym z największych w ostatnich tygodniach. Harmony powiedział, że rozpoczął „pracę z władzami krajowymi i specjalistami od kryminalistyki, aby zidentyfikować sprawcę i odzyskać skradzione fundusze.”
Zespół dodał, że exploit nie wpłynął na bezzaufany most Bitcoin (BTC), a aktywa przechowywane w zdecentralizowanych skarbcach pozostają bezpieczne.
Most Horizon łączy protokół Harmony z innymi sieciami, takimi jak Ethereum i Binance Smart Chain, umożliwiając transfery kryptowalut, stablecoinów i NFT między blockchainem Harmony a siecią.
Harmony została ostrzeżona o podatności
W kwietniu deweloper blockchain i badacz Ape Dev ostrzegali o słabych zabezpieczeniach Harmony. Przewidywali, że złośliwy podmiot może ją wykorzystać w ataku, który może doprowadzić do strat sięgających 330 milionów dolarów.
Bezpieczeństwo mostu przewiduje obecnie portfel multisigowy wdrożony pod adresem 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Ma on czterech właścicieli, z których dwóch musi wyrazić zgodę, aby wykonać arbitralną transakcję (czyli spuścić 330 mln $). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) 1 kwietnia 2022
Zgodnie z dostępnymi informacjami, napastnik przeniósł środki w 12 transakcjach, używając trzech adresów ataku. W rezultacie mogli przenieść środki na tokeny takie jak ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD i AAG.
Napastnik był w stanie uzyskać kontrolę nad MultiSigWallet i potwierdził transakcje, aby bezpośrednio przelać skradzione środki.
Harmony Protocol’s Horizon bridge was hacked and $100 million were drained earlier today.
Most był zasadniczo 2 z 5 multisig. Jeśli dowolne 2 adresy powiedziały mu, aby przelać fundusze do kogoś, to zrobił to.
Haker skompromitował 2 adresy i kazał im spuścić pieniądze. pic.twitter.com/hv1JWDy9WQ
– Mudit Gupta (@Mudit__Gupta) June 24, 2022
Choć tożsamość hakera pozostaje nieznana, fakt, że zespół Harmony mógł zapobiec atakowi, wzbudzi pytania o jego bezpieczeństwo wśród społeczności kryptowalutowej.
Większość skradzionych tokenów nadal znajdowała się w portfelu atakującego w czasie czasu prasowego. Jednak atakujący rozpoczął konwersję skradzionych środków na ETH poprzez Uniswap.
The @harmonyprotocol bridge exploiter 0x0d04…ed00 ukradł z mostu 11 różnych tokenów erc-20 i 13,100 Ether.
Następnie przeniósł inne tokeny erc-20 do dwóch innych portfeli, aby zamienić je poprzez uniswap i inne dexs z powrotem na eth, a na koniec z powrotem na 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
– MistTrack️ (@MistTrack_io) 24 czerwca 2022