Harmony Bridge взломали, потеряли Ethereum стоимостью 100 миллионов долларов

24 июня был взломан Horizon Bridge, соединяющий Harmony — блокчейн PoS уровня 1, созданный для нативного токена ONE — с Ethereum и экосистемой Binance Chain, что привело к потере примерно 100 миллионов долларов в ETH. Об этом сообщила в Twitter команда Harmony, заявившая, что ищет виновника.

Последняя из серии уязвимостей

Команда 1 / Harmony выявила кражу, которая произошла сегодня утром на мосту Горизонт ок. $100 млн. Мы начали работу с национальными властями и судебно-медицинскими экспертами, чтобы установить виновного и вернуть украденные средства.

Еще 🧵

– Гармония 💙 (@harmonyprotocol) 23 июня 2022 г.

С тех пор мост был закрыт, чтобы предотвратить дальнейшие потери. Разработчики Harmony также уточнили, что мост BTC не будет затронут.

Атака, по-видимому, произошла в течение 17 часов, начиная с транзакции на сумму 4919 ETH, за которой последовало несколько меньших транзакций от 911 до 0,0003 ETH. Последнее произошло после закрытия моста.

Взлом является последним в серии эксплойтов, влияющих на криптопространство, таких как утечка Axie Infinity, Solana Wormhole или, совсем недавно, (неуместный) сбой Optimism. Еще одна недавняя уязвимость, Demonic Exploitation, затронувшая несколько криптокошельков, была устранена до того, как можно было нанести какой-либо ущерб.

Сообщается, что объявлены обмены, а также «национальные власти и судебно-медицинские эксперты». К сожалению для Harmony, первое может не помочь в случае, если личность хакера будет раскрыта, в зависимости от юрисдикции, в которой может находиться хакер.

«Мы также предупредили биржи и остановили Horizon Bridge, чтобы предотвратить дальнейшие транзакции. Команда полностью готова к работе, пока расследование продолжается. Мы будем держать всех в курсе по мере дальнейшего расследования и сбора дополнительной информации».

Предварительное уведомление, выпущенное независимыми исследователями

Как ни странно, это было предупреждение. изданный независимым исследователем и разработчиком блокчейна Ape Dev еще 2 апреля. В серии твитов Ape Dev обратил внимание на то, что безопасность Harmony Bridge строится вокруг мультиподписного кошелька всего с четырьмя владельцами. Он предсказал, что это может быть использовано для проведения очень простой атаки, заставив двух владельцев подписать переводы на сумму до 330 миллионов долларов.

С тех пор его исследовательские таланты были признаны Бренданом Эйхом, генеральным директором и соучредителем Brave.

👀 https://t.co/MCi4MXJuge

– Обезьяна Дев (@_apedev) 24 июня 2022 г.

Неясно, получил ли злоумышленник Harmony эту идею от указания Ape Dev или пришел к такому же выводу самостоятельно. Однако в обоих случаях предупреждение пришло почти за три месяца до несчастного случая, что должно было дать разработчикам Harmony достаточно времени для обеспечения безопасности своих систем.

В связи с тем, что кибератаки становятся все более и более распространенными в криптосфере, стандарты безопасности различных платформ на основе блокчейна, вероятно, будут все чаще и чаще подвергаться тщательному анализу со стороны третьих лиц — и это правильно.