הפריצה של 100 מיליון דולר של Harmony נבעה מתוכנית Multi-Sig שנפגעה, אומר אנליסט

Harmony's $100M Hack Was Due to a Compromised Multi-Sig Scheme, Says Analyst

ב-23 ביוני 2022, צוות הפיתוח של Harmony הודיע כי 100 מיליון דולר נגבו מגשר הורייזון, והארגון הסביר שהוא עובד עם רשויות לאומיות ומומחים לזיהוי פלילי. לפי דיווח שפורסם קצין אבטחת המידע הראשי של פוליגון, מודיט גופטה, תוקף גשר הורייזון השתלט לכאורה על הארנק מרובה החתימות הממונף בגשר של הרמוני.

ה-CSO של Polygon של Multi-Sig של Harmony אומר, מייסד Harmony Protocol מצא הוכחות לכך ש'מפתחות פרטיים נפגעו'

לפני שלושה ימים, הרמוני הסביר כי הוא הותקף והצוות היה עד ל-100 מיליון דולר שנשפו מגשר הורייזון. "צוות הרמוני זיהה גניבה שהתרחשה הבוקר על גשר הורייזון בהיקף של כ. $100 [מיליון]", הרמוני צייץ ביום חמישי. "התחלנו לעבוד עם רשויות לאומיות ומומחי זיהוי פלילי כדי לזהות את האשם ולהחזיר את הכספים הגנובים", הוסיף צוות הרמוני.

בעקבות הניצול, כבר למחרת, קצין אבטחת המידע הראשי של פוליגון, מודיט גופטה, אמר שהגשר היה תוכנית מרובת חתימות של 2 מתוך 5, וכל מי שיש לו שתיים מהכתובות יכול להשתלט עליו. "ההאקר התפשר על 2 כתובות וגרם להן לרוקן את הכסף", הוסיף גופטה. גופטה אמר כי למרות שהפרטים אינם פומביים עדיין הוא סיכם את מה שלדעתו התרחש במהלך הפריצה. "שתי הכתובות היו ככל הנראה ארנקים חמים ששימשו להאזנה ועיבוד עסקאות גישור לגיטימיות", גופטה מוסבר.

"התוקף סכן את השרת/ים שעליהם פעלו הארנקים החמים האלה", כתב ה-Polygon CSO ביום שישי. "כשהם נכנסו לשרת, הם יכלו לגשת למפתחות שנשמרו בטקסט פשוט לחתימה על עסקאות חוקיות. ניצול השרת היה ככל הנראה פגיעה במפתח SSH או הנדסה חברתית. זה דומה להחריד לאופן שבו רונין נפרץ". האנליסט הוסיף עוד:

זה לא היה 'פריצת בלוקצ'יין'. זה היה 'האק מסורתי'. כבר חודשים שאני מתחנן לפרוטוקולים להתמקד באבטחה מסורתית לצד אבטחת בלוקצ'יין...

יתר על כן, א דוח מקרה נכתב על ידי מייסד פרוטוקול הרמוני אומר "הצוות מצא ראיות לכך שמפתחות פרטיים נפגעו, מה שהוביל לפריצת גשר הורייזון שלנו - כספים נגנבו מהצד של האת'ריום של הגשר". מייסד הרמוני גם ציין כי "סודיות היא המפתח לשמירה על שלמות כחלק מהחקירה המתמשכת הזו - השמטת פרטים ספציפיים היא להגן על נתונים רגישים לטובת הקהילה שלנו".

תגיות בסיפור הזה

100 מיליון, 2 מתוך 5 ערכת ריבוי חתימות, סודיות, - מימון מבוזר, DeFi, פריצות דפי, הרמוניה האק, פרוטוקול הרמוניה, מייסד פרוטוקול הרמוני, גשר אופק, ניצול גשר אופק, דוח מקרה, מודית גופטה, ריבוי חתימות, CSO של מצולע, ניצול רונין, נתונים רגישים, כספים גנובים

מה אתה חושב על ניצול הרמוני ב-100 מיליון דולר? ספר לנו מה אתה חושב על הנושא הזה בקטע ההערות למטה.

ג 'יימי רדמן

ג'יימי רדמן הוא ראש החדשות ב-Bitcoin.com News ועיתונאי טכנולוגיה פיננסית המתגורר בפלורידה. רדמן היה חבר פעיל בקהילת מטבעות הקריפטו מאז 2011. יש לו תשוקה לביטקוין, קוד קוד פתוח ויישומים מבוזרים. מאז ספטמבר 2015, רדמן כתב יותר מ-5,000 מאמרים עבור Bitcoin.com News על הפרוטוקולים המשבשים שצצים היום.