สะพานข้ามสาย Harmony's Cross-Chain ถูกใช้ประโยชน์ในราคา $100M

ทีมงาน Harmony ยืนยันว่าสะพาน Horizon ถูกนำไปใช้ประโยชน์เป็นเงินประมาณ 100 ล้านดอลลาร์ในโทเค็นต่างๆ

Harmony Bridge ถูกโจมตีด้วยเงิน $100M

Harmony ซึ่งเป็นบล็อกเชนแบบ Proof-of-Stake ที่เข้ากันได้กับ EVM มีสะพานข้ามสายโซ่ Horizon ที่ใช้ประโยชน์จากการละเมิดความปลอดภัยที่สำคัญ

1/ ทีมงาน Harmony ตรวจพบการโจรกรรมที่เกิดขึ้นในเช้าวันนี้บนสะพาน Horizon จำนวนประมาณ 100 มม. เราได้เริ่มทำงานกับหน่วยงานระดับประเทศและผู้เชี่ยวชาญด้านนิติเวชเพื่อระบุตัวผู้กระทำความผิดและเรียกเงินที่ขโมยมา

มากกว่า ?

- ความสามัคคี ? (@harmonyprotocol) มิถุนายน 23, 2022

ทีมงาน Harmony ยืนยันในโพสต์ Twitter เช้าวันศุกร์ว่า Horizon สะพานที่เชื่อมต่อเครือข่าย Harmony กับ BNB Chain และ Ethereum ถูกนำไปใช้ประโยชน์เป็นมูลค่าประมาณ 100 ล้านดอลลาร์ในโทเค็นต่างๆ “ทีม Harmony ได้ระบุการโจรกรรมที่เกิดขึ้นในเช้าวันนี้บนสะพาน Horizon จำนวนประมาณ 100 ล้านดอลลาร์” โพสต์จากบัญชี Twitter ของ Harmony อย่างเป็นทางการ และเสริมว่าขณะนี้ได้ทำงานร่วมกับหน่วยงานระดับชาติและผู้เชี่ยวชาญด้านนิติเวช เพื่อระบุตัวผู้โจมตีและอาจดึงเงินที่ขโมยมา

ตามข้อมูลในเครือข่าย การใช้ประโยชน์เริ่มต้นเมื่อเวลาประมาณ 12:02 น. UTC ในวันพฤหัสบดี และกินเวลาประมาณ 15 ชั่วโมง ผู้โจมตีทำธุรกรรมที่เป็นอันตราย 16 รายการในขนาดต่างๆ ตั้งแต่ 14,190 ถึง 30 ETH ก่อนที่ทีม Harmony จะสังเกตเห็นการโจมตีและหยุด Horizon bridge เพื่อป้องกันธุรกรรมที่เป็นอันตรายเพิ่มเติม หลังจากขโมยโทเค็นต่างๆ มูลค่าประมาณ 100 ล้านดอลลาร์ รวมถึง Frax, Frax Shares, ห่อ Ethereum, ห่อ Bitcoin, Aave, Sushi, Tether และ Binance USD ผู้โจมตีได้ส่งพวกเขาไปยังกระเป๋าอื่น ๆ เพื่อแลกเป็น Ethereum บน Uniswap การแลกเปลี่ยนแบบกระจายอำนาจ แล้วโอนเงินที่ขโมยมาคืนให้ ต้นกำเนิดกระเป๋าสตางค์.

ไม่ใช่เรื่องปกติสำหรับการหาประโยชน์ประเภทนี้ ผู้โจมตียังไม่ได้พยายามปิดบังเงินที่ถูกขโมยไปผ่านโปรโตคอลความเป็นส่วนตัว เช่น เงินสดทอร์นาโด. ในทวีตติดตามผล ทีม Harmony ระบุว่ากำลังทำงานร่วมกับสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาและบริษัทรักษาความปลอดภัยทางไซเบอร์หลายแห่งเพื่อติดตามและระบุตัวผู้โจมตี การมีส่วนร่วมจากทางการสหรัฐหมายความว่ามีความเป็นไปได้ที่สำนักงานควบคุมทรัพย์สินต่างประเทศจะเพิ่มกระเป๋าเงินของผู้โจมตีไปยังที่อยู่ที่ถูกคว่ำบาตร บัญชีดำปิดการใช้งานอย่างมีประสิทธิภาพจากการฟอกเงินที่ถูกขโมยผ่าน Tornado Cash

ในขณะที่ Harmony ยังไม่ได้เปิดเผยรายละเอียดเฉพาะเกี่ยวกับวิธีการหาช่องโหว่ ผู้เชี่ยวชาญด้านความปลอดภัยบล็อคเชนคาดการณ์ว่าผู้โจมตีน่าจะเข้าถึงคีย์ส่วนตัวอย่างน้อยสองในห้าของกระเป๋าเงินหลายลายเซ็นที่ควบคุมสัญญาอัจฉริยะของ Horizon bridge เวกเตอร์การโจมตีนี้มีอยู่แล้ว ไฮไลท์ ในเดือนเมษายนโดย Ape Dev ผู้ก่อตั้งนามแฝงของ Chainstride Capital บริษัทร่วมทุนที่เน้นการเข้ารหัสลับ พวกเขากล่าวว่าพวกเขาได้ตรวจสอบ Harmony bridge บน Ethereum และพบว่า "หากผู้ลงนาม multisig สองในสี่รายถูกบุกรุก เราจะเห็นการแฮ็กอีก 9 ร่าง" ซึ่งดูเหมือนจะเป็นสิ่งที่เกิดขึ้นเมื่อวานนี้อย่างแม่นยำ

Mudit Gupta หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ Polygon แสดงความคิดเห็น ว่านี่ไม่ใช่ “การแฮ็กบล็อคเชน” แต่เป็น “แฮ็คแบบดั้งเดิม” และคาดการณ์ว่าผู้โจมตีน่าจะบุกรุกเซิร์ฟเวอร์ที่โฮสต์คีย์ของกระเป๋าสตางค์หลายลายเซ็นของ Horizon “เมื่อเข้าไปในเซิร์ฟเวอร์ พวกเขาสามารถเข้าถึงคีย์ที่เก็บไว้ในข้อความธรรมดาเพื่อลงนามในธุรกรรมที่ถูกกฎหมาย” เขากล่าว และเสริมว่าการหาช่องโหว่นั้น “คล้ายกันอย่างน่าขนลุก” กับเงิน 551.8 ล้านดอลลาร์ของ Axie Infinity เครือข่ายโรนิน เอาเปรียบ ตั้งแต่เดือนมีนาคม ในเดือนเมษายน กระทรวงการคลังสหรัฐ ได้รับการยืนยัน ว่ากลุ่มอาชญากรไซเบอร์ที่ได้รับการสนับสนุนจากรัฐของเกาหลีเหนือที่รู้จักกันในชื่อ Lazarus Group นั้นอยู่เบื้องหลังการใช้ประโยชน์จากเครือข่าย Ronin

Harmony ระบุว่าสะพาน Bitcoin ที่ไม่น่าเชื่อถือไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว และจะอัปเดตข้อมูลใหม่ๆ ให้สาธารณชนทราบต่อไปเมื่อมีเข้ามา

การเปิดเผย: ในขณะที่เขียน ผู้เขียนงานชิ้นนี้เป็นเจ้าของ ETH และ cryptocurrencies อื่น ๆ อีกหลายสกุล