23 年 2022 月 100 日,Harmony 开发团队宣布从 Horizon 大桥中抽走 XNUMX 亿美元,该组织解释说它正在与国家当局和法医专家合作。 根据发布的 Polygon 首席信息安全官 Mudit Gupta 的帐户,Horizon 网桥攻击者据称控制了 Harmony 网桥中使用的多重签名钱包。
Harmony 的 Multi-Sig 被利用 Polygon 的 CSO 表示,Harmony 协议的创始人发现了“私钥被泄露”的证据
三天前,Harmony 解释说它遭到了攻击,团队目睹了 100 亿美元从地平线桥上被盗走。 “Harmony 团队发现今天早上在 Horizon 桥上发生了一起盗窃案,金额约为100 美元 [百万],”Harmony 啾啾 星期四。 Harmony 团队补充说:“我们已经开始与国家当局和法医专家合作,以查明罪魁祸首并追回被盗资金。”
在漏洞利用之后的第二天,Polygon 的首席信息安全官 Mudit Gupta, 说过 桥是一个 2 of 5 的多重签名方案,任何拥有两个地址的人都可以控制它。 “黑客入侵了 2 个地址并让他们掏空了钱,”古普塔补充道。 古普塔说,虽然细节尚未公开,但他总结了他认为在黑客攻击期间发生的事情。 “这两个地址可能是用于侦听和处理合法桥接交易的热钱包,”古普塔 解释.
“攻击者破坏了运行这些热钱包的服务器,”Polygon CSO 周五写道。 “一旦进入服务器,他们就可以访问以明文形式保存的密钥,用于签署合法交易。 服务器漏洞可能是 SSH 密钥泄露或社会工程。 这与 Ronin 被黑客入侵的情况非常相似。” 分析师进一步补充说:
这不是“区块链黑客”。 这是一个“传统黑客”。 几个月来,我一直在恳求协议在关注区块链安全的同时也关注传统安全……
此外, 事件报告 由...撰写 和谐协议创始人 说“团队发现了私钥被泄露的证据,导致我们的 Horizon 桥被破坏——资金从桥的以太坊一侧被盗。” Harmony 创始人还指出,“作为正在进行的调查的一部分,保密性是保持完整性的关键——省略具体细节是为了保护敏感数据,以符合我们社区的利益。”
您如何看待 100 亿美元的 Harmony 漏洞利用? 在下面的评论部分让我们知道您对此主题的看法。
图像信用:Shutterstock,Pixabay,Wiki Commons
资料来源:https://news.bitcoin.com/harmonys-100m-hack-was-due-to-a-compromised-multi-sig-scheme-says-analyst/