關鍵要點
- Harmony 的跨鏈橋 Horizon 已被利用價值約 100 億美元的各種代幣。
- 攻擊者已將所有被盜資金出售給以太坊,但將通過 Tornado Cash 等隱私協議進行洗錢。
- 據報導,Harmony 團隊正在與聯邦調查局和多家網絡安全公司合作,以識別攻擊者。
分享此文章
Harmony 團隊已確認 Horizon 橋已被利用各種代幣獲得約 100 億美元。
和諧之橋以 100 億美元成交
Harmony 是一個與 EVM 兼容的權益證明區塊鏈,其 Horizon 跨鏈橋在重大安全漏洞中被利用。
1/ Harmony 團隊發現今天早上在 Horizon 橋上發生了一起盜竊案,盜竊金額約為100 毫米。 我們已開始與國家當局和法醫專家合作,以查明罪魁禍首並追回被盜資金。
更多的 ?
——和諧? (@harmonyprotocol) 2022 年 6 月 23 日
Harmony 團隊在周五早上的 Twitter 帖子中證實,將 Harmony 網絡連接到 BNB 鍊和以太坊的橋樑 Horizon 已被用於獲取約 100 億美元的各種代幣。 “Harmony 團隊發現今天早上在 Horizon 橋上發生了一起盜竊案,金額約為100 毫米,”Harmony 官方推特賬戶的一篇帖子說,並補充說它已經與國家當局和法醫專家合作,以確定攻擊者並有可能找回被盜的資金。
根據鏈上數據,該漏洞利用於世界標準時間週四 12:02 左右開始,持續了約 15 小時。 在 Harmony 團隊發現攻擊之前,攻擊者執行了 16 次不同規模的惡意交易,從 14,190 到 30 ETH 不等,並停止了 Horizon 橋以防止進一步的惡意交易。 在竊取了價值約 100 億美元的各種代幣後,包括 Frax、Frax Shares、wrapped Ethereum、wrapped Bitcoin、Aave、Sushi、Tether 和 Binance USD,攻擊者將它們發送到不同的錢包,在去中心化交易所 Uniswap 上將它們換成 Ethereum,然後將被盜資金轉回 原始錢包.
對於這些類型的漏洞利用並不常見,攻擊者尚未嘗試通過隱私協議對被盜資金進行匿名化,例如 龍捲風現金. 在後續推文中,Harmony 團隊表示正在與聯邦調查局和多家網絡安全公司合作,以追踪和識別攻擊者。 美國當局的參與意味著外國資產控制辦公室有可能將攻擊者的錢包添加到其受制裁的地址 黑名單,有效地阻止了它通過 Tornado Cash 清洗被盜資金。
雖然 Harmony 尚未分享有關漏洞如何發生的具體細節,但區塊鏈安全專家推測,攻擊者可能獲得了控制 Horizon 橋智能合約的多重簽名錢包的五個私鑰中的至少兩個的訪問權限。 這個攻擊向量已經 突出 9 月,由專注於加密的風險投資公司 Chainstride Capital 的化名創始人 Ape Dev 發起。 他們說他們已經調查了以太坊上的 Harmony 橋,發現“如果四個多重簽名者中的兩個被入侵,我們將看到另一個 XNUMX 位數的黑客攻擊”,這似乎正是昨天發生的事情。
Polygon 的首席信息安全官 Mudit Gupta, 評論 這不是“區塊鏈黑客”,而是“傳統黑客”,並推測攻擊者可能破壞了託管 Horizon 多重簽名錢包密鑰的服務器。 “一旦進入服務器,他們就可以訪問以明文形式保存的密鑰,用於簽署合法交易,”他補充說,該漏洞利用與 Axie Infinity 的 551.8 億美元“驚人地相似” 浪人網絡 利用 從三月開始。 XNUMX 月,美國財政部 確認 朝鮮國家支持的網絡犯罪組織 Lazarus Group 是 Ronin Network 漏洞利用的幕後黑手。
Harmony 表示,其無需信任的比特幣橋不受該漏洞利用的影響,並將繼續向公眾提供新信息。
披露:在撰寫本文時,本文作者擁有 ETH 和其他幾種加密貨幣。
分享此文章
資料來源:https://cryptobriefing.com/harmonys-cross-chain-bridge-exploited-for-100m/?utm_source=feed&utm_medium=rss