Torsdag tabte Harmony, en proof-of-stake (PoS) blockchain, $100 millioner på grund af et tyveri på sin Ethereum-forbundne bro.
Den anonyme hacker stjal flere aktiver, herunder ETH, BNB, USDT, USDC og DAI. Disse aktiver blev tidligere koblet fra Ethereum til Harmony blockchain gennem Horizon-broen.
Som svar sagde Harmony, at det arbejdede med retshåndhævende myndigheder og cybersikkerhedsfirmaer. Alligevel forklarede holdet ikke, hvordan hacket fandt sted.
Mens Harmony-teamet endnu ikke har givet en officiel obduktion, har sikkerhedseksperter tilbudt nogle indsigter i hacket. Ifølge Mudit Gupta, Polygons informationssikkerhedschef, fik gerningsmanden kontrol over multisignatur-pungen, der blev brugt til at implementere Harmony's bro.
A multi-signatur wallet er en smart kontraktkonto, der administreres med flere private nøgler, opdelt mellem flere enheder i stedet for en enkelt person. Gupta fandt det broens tegnebogs midler krævede en tilladelse fra mindst to af de i alt fem private nøgler, så tgerningsmanden kan have udtrukket to private nøgler og fået kontrol.
"Broen var i det væsentlige en 2 af 5 multi-sig. Hvis nogen 2 adresser fortalte den at overføre penge til nogen, så gjorde den det," Gupta sagde. "Hackeren kompromitterede 2 adresser og fik dem til at dræne pengene."
CertiK, et smart kontraktsikkerhedsfirma, bekræftede, at hackeren faktisk målrettede broens multi-signatur-pung. I en fredagsrapport sagde CertiK: "Angriberen opnåede denne [udnyttelse] ved på en eller anden måde at kontrollere ejeren af MultiSigWallet til at kalde confirmTransaction() direkte for at overføre store mængder tokens fra broen på Harmony."
Dette er en udviklingshistorie. Harmony reagerede ikke umiddelbart på en anmodning om kommentar.
© 2022 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Om forfatteren
Vishal Chawla er en reporter, der har dækket ins og outs i tech-industrien i mere end et halvt årti. Før han kom til The Block, arbejdede Vishal for mediefirmaer som Crypto Briefing, IDG ComputerWorld og CIO.com.
Kilde: https://www.theblock.co/post/154029/harmonys-100-million-hacker-took-control-of-its-multi-signature-wallet-analysts-say?utm_source=rss&utm_medium=rss