2022 年6 月23 日,Harmony 開發團隊宣布從Horizon 大橋中抽走1 億美元,該組織解釋說它正在與國家當局和法醫專家合作。根據發布的Polygon 首席信息安全官Mudit Gupta 的帳戶,Horizon 網橋攻擊者據稱控制了Harmony 網橋中使用的多重簽名錢包。
Harmony 的Multi-Sig 被利用Polygon 的CSO 表示,Harmony 協議的創始人發現了“私鑰被洩露”的證據
三天前,Harmony 解釋說它遭到了攻擊,團隊目睹了1 億美元從地平線橋上被盜走。 “Harmony 團隊發現今天早上在Horizon 橋上發生了一起盜竊案,金額約為100 美元 [million],”和諧 發推文 星期四。 Harmony 團隊補充說:“我們已經開始與國家當局和法醫專家合作,以查明罪魁禍首並追回被盜資金。”
在漏洞利用之後的第二天,Polygon 的首席信息安全官Mudit Gupta, 說 橋是一個2 of 5 的多重簽名方案,任何擁有兩個地址的人都可以控制它。 “黑客入侵了2 個地址並讓他們掏空了錢,”古普塔補充道。古普塔說,雖然細節尚未公開,但他總結了他認為在黑客攻擊期間發生的事情。 “這兩個地址可能是用於偵聽和處理合法橋接交易的熱錢包,”古普塔 解釋.
“攻擊者破壞了運行這些熱錢包的服務器,”Polygon CSO 週五寫道。 “一旦進入服務器,他們就可以訪問以明文形式保存的密鑰,用於簽署合法交易。 服務器漏洞可能是SSH 密鑰洩露或社會工程。 這與Ronin 被黑客入侵的情況非常相似。” 分析師進一步補充說:
這不是“區塊鏈黑客”。這是一個“傳統黑客”。幾個月來,我一直在懇求協議在關注區塊鏈安全的同時也關注傳統安全……
此外,一個 事件報告 寫的 和諧協議創始人 說“團隊發現了私鑰被洩露的證據,導致我們的Horizon 橋被破壞——資金從橋的以太坊一側被盜。” Harmony 創始人還指出,“作為正在進行的調查的一部分,保密性是保持完整性的關鍵——省略具體細節是為了保護敏感數據,以符合我們社區的利益。”
您如何看待1 億美元的Harmony 漏洞利用?在下面的評論部分讓我們知道您對此主題的看法。
圖片來源:Shutterstock,Pixabay,Wiki Commons