El jueves, Harmony, una cadena de bloques de prueba de participación (PoS), perdió USD 100 millones debido a un robo en su puente vinculado a Ethereum.
El hacker anónimo robó múltiples activos, incluidos ETH, BNB, USDT, USDC y DAI. Estos activos se conectaron previamente desde Ethereum a la cadena de bloques Harmony a través del puente Horizon.
En respuesta, Harmony dijo que estaba trabajando con las agencias de aplicación de la ley y las empresas de seguridad cibernética. Aún así, el equipo no explicó cómo se produjo el ataque.
Si bien el equipo de Harmony aún no ha proporcionado una autopsia oficial, los expertos en seguridad han ofrecido algunas ideas sobre el ataque. Según la Mudita Gupta, director de seguridad de la información de Polygon, el perpetrador obtuvo el control de la billetera de firmas múltiples utilizada para implementar Harmony's puente.
A La billetera de firmas múltiples es una cuenta de contrato inteligente que se administra con varias claves privadas, divididas entre varias entidades en lugar de una sola persona. Gupta descubrió que los fondos de la billetera del puente requerían un permiso de al menos dos de las cinco claves privadas en total, por lo que tEl perpetrador puede haber extraído dos claves privadas y obtenido el control.
“El puente era esencialmente un 2 de 5 multi-sig. Si dos direcciones le dijeron que transfiriera fondos a alguien, lo hizo”, Gupta dijo. "El pirata informático comprometió 2 direcciones y les hizo drenar el dinero".
CertiK, una firma de seguridad de contratos inteligentes, corroboró que el pirata informático, de hecho, apuntó a la billetera de firmas múltiples del puente. En un informe del viernes, CertiK dijo: "El atacante logró este [exploit] al controlar de alguna manera al propietario de MultiSigWallet para llamar a confirmTransaction () directamente para transferir grandes cantidades de tokens desde el puente en Harmony".
Esta es una historia en desarrollo. Harmony no respondió de inmediato a una solicitud de comentarios.
© 2022 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
sobre el autor
Vishal Chawla es un reportero que ha cubierto los entresijos de la industria tecnológica durante más de media década. Antes de unirse a The Block, Vishal trabajó para empresas de medios como Crypto Briefing, IDG ComputerWorld y CIO.com.
Fuente: https://www.theblock.co/post/154029/harmonys-100-million-hacker-took-control-of-its-multi-signature-wallet-analysts-say?utm_source=rss&utm_medium=rss