- Branża kryptowalut jest często świadkiem ataków, a Harmony stała się niedawną ofiarą jednego z takich ataków.
- Nieznanemu hakerowi udało się ukraść wiele aktywów, takich jak BNB, ETH itp., które zostały połączone mostem z Ethereum do Harmony.
- Nieetyczny aktor przejął kontrolę nad portfelem z wieloma podpisami wykorzystywanym podczas wdrażania Harmonii most, podkreślił dyrektor ds. bezpieczeństwa informacji w firmie Polygon.
Od czasu swojego istnienia branża kryptowalut była świadkiem kilku włamań i ataków. Niedawnym przykładem jest przypadek Harmony z czwartku, kiedy blockchain Proof-of-Stake (PoS) stracił 100 milionów dolarów w wyniku kradzieży na moście połączonym z Ethereum.
Nieznanemu hakerowi udało się ukraść wiele aktywów, takich jak BNB, ETH, USDC, DAI i USDT. Aktywa zostały wcześniej połączone z Ethereum na Harmonia blockchain za pośrednictwem mostu Horizon.
Następnie Harmony podkreśliła, że współpracuje z organami ścigania i podmiotami zajmującymi się bezpieczeństwem cybernetycznym. Nie było jednak jasne, jak dokładnie doszło do ataku.
Chociaż zespół z tyłu Harmonia nie przedstawił jasnego obrazu niczego, ale według głównego specjalisty ds. bezpieczeństwa informacji w firmie Polygon, Mudita Gupty, nieetyczny aktor przejął kontrolę nad portfelem z wieloma podpisami wykorzystywanym podczas wdrażania mostu Harmony.
Portfel z wieloma podpisami to inteligentne konto kontraktowe zarządzane za pomocą różnych kluczy prywatnych, podzielone między wiele podmiotów, a nie jedną osobę. Według Gupty odkrył, że fundusz portfelowy mostu potrzebował pozwolenia co najmniej dwóch z pięciu kluczy prywatnych, aby osoba atakująca mogła uzyskać dostęp do dwóch kluczy prywatnych i uzyskać uprawnienia.
Podkreślił, że most był mostem typu multi-sig typu dwa z pięciu. A jeśli dowolne dwa adresy poprosiłyby o przekazanie środków komukolwiek. Osoba atakująca włamała się na dwa adresy i wykorzystała je do rozlewu środków.
Certik, firma zajmująca się bezpieczeństwem inteligentnych kontraktów, opowiedziała o tym, co zrobił nieetyczny aktor; podkreśliło, że osoba atakująca przeprowadziła exploit, kontrolując w pewnym stopniu właściciela MultiSigWallet, aby bezpośrednio wywoływał potwierdzenia transakcji w celu przesłania dużych ilości tokenów z Harmonii most.
Źródło: https://www.thecoinrepublic.com/2022/06/25/harmonys-harmony-disrupted-analysts-says-100m-attacker-gained-control-of-multi-sig-wallet/