Penggodam Harmony bernilai $100 juta mengawal dompet berbilang tandatangannya, kata penganalisis

Pada hari Khamis, Harmony, sebuah blok blok bukti saham (PoS), kehilangan $100 juta akibat kecurian di jambatan berkaitan Ethereumnya. 

Penggodam tanpa nama itu mencuri berbilang aset, termasuk ETH, BNB, USDT, USDC dan DAI. Aset-aset ini sebelum ini disambungkan daripada Ethereum ke rantaian Harmony melalui jambatan Horizon.

Sebagai tindak balas, Harmony berkata ia bekerjasama dengan agensi penguatkuasaan undang-undang dan firma keselamatan siber. Namun, pasukan itu tidak menjelaskan bagaimana penggodaman itu berlaku.

Walaupun pasukan Harmony masih belum memberikan bedah siasat rasmi, pakar keselamatan telah menawarkan beberapa pandangan tentang penggodaman itu. Menurut Mudit Gupta, ketua pegawai keselamatan maklumat Polygon, pelaku berjaya mengawal dompet berbilang tandatangan yang digunakan dalam menggunakan Harmony's jambatan.

A dompet berbilang tandatangan ialah akaun kontrak pintar yang diuruskan dengan beberapa kunci peribadi, dibahagikan antara berbilang entiti dan bukannya satu orang. Gupta mendapati itu dana dompet jambatan memerlukan kebenaran daripada sekurang-kurangnya dua daripada jumlah lima kunci peribadi, jadi tdia mungkin telah mengeluarkan dua kunci peribadi dan mendapat kawalan.

“Jambatan itu pada dasarnya adalah 2 daripada 5 multi-sig. Jika mana-mana 2 alamat memberitahunya untuk memindahkan dana kepada seseorang, ia melakukannya, "Gupta berkata. "Penggodam itu menjejaskan 2 alamat dan membuat mereka menghabiskan wang."

CertiK, firma keselamatan kontrak pintar, mengesahkan bahawa penggodam itu, sebenarnya, menyasarkan dompet berbilang tandatangan jambatan itu. Dalam laporan Jumaat, CertiK berkata: "Penyerang mencapai [eksploit] ini dengan entah bagaimana mengawal pemilik MultiSigWallet untuk memanggil confirmTransaction() terus untuk memindahkan sejumlah besar token dari jambatan di Harmony." 

Ini adalah cerita yang sedang berkembang. Harmony tidak segera menjawab permintaan untuk komen.

© 2022 The Block Crypto, Inc. Hak Cipta Terpelihara. Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau lain-lain.

mengenai Penulis

Vishal Chawla ialah seorang wartawan yang telah membuat liputan tentang selok belok industri teknologi selama lebih setengah dekad. Sebelum menyertai The Block, Vishal bekerja untuk firma media seperti Crypto Briefing, IDG ComputerWorld dan CIO.com.

Sumber: https://www.theblock.co/post/154029/harmonys-100-million-hacker-took-control-of-its-multi-signature-wallet-analysts-say?utm_source=rss&utm_medium=rss