- תעשיית הקריפטו עדה להתקפות לעתים קרובות, והרמוני היא הקורבן האחרון של מעשה אחד כזה.
- ההאקר האלמוני הצליח לחטוף נכסים מרובים כמו BNB, ETH וכו', שגושרו מאתריום להרמוני.
- השחקן הלא אתי קיבל את השליטה על הארנק מרובה החתימות שנוצל בפריסה של הרמוניה גשר, הדגיש קצין אבטחת המידע הראשי של פוליגון.
תעשיית מטבעות הקריפטו הייתה עדה למספר פריצות והתקפות מאז קיומה. ומקרה עם Harmony ביום חמישי, כאשר ה-Proof-of-Stake (PoS) הבלוקצ'יין הפסיד 100 מיליון דולר בגלל גניבה על הגשר המקושר ל-Ethereum שלו, הוא דוגמה עדכנית לכך.
ההאקר האלמוני הצליח לחטוף נכסים מרובים כמו BNB, ETH, USDC, DAI ו- USDT. הנכסים היו מגושרים מוקדם יותר מהאת'ריום ל- הרמוניה blockchain דרך גשר הורייזון.
הרמוני הדגישה אז שהיא בעבודות עם רשויות אכיפת חוק וגופי אבטחת סייבר. אבל לא היה ברור איך בדיוק אירע הפיגוע.
למרות שהצוות מאחורי הרמוניה לא הציג תצוגה ברורה של דבר, אך לדברי קצין אבטחת המידע הראשי של פוליגון, מודיט גופטה, השחקן הלא אתי קיבל את השליטה בארנק רב החתימות שנוצל בפריסת הגשר של הרמוני.
ארנק ריבוי חתימות הוא חשבון חוזה חכם המנוהל באמצעות מפתחות פרטיים שונים, המחולקים בין מספר ישויות במקום אדם בודד. לדברי גופטה, הוא מצא שקרן הארנק של הגשר זקוקה לאישור ממינימום שניים מתוך חמישה מפתחות פרטיים כדי שהתוקף ניגש לשני מפתחות פרטיים וקיבל את הסמכות.
הוא הדגיש שהגשר היה רב-סיג של שניים מתוך חמישה. ואם כל שתי כתובות ביקשו ממנו להעביר כספים למישהו. והתוקף סכן שתי כתובות והשתמש בהן כדי לשפוך את הכספים.
חברת אבטחת החוזים החכמים, Certik, דיברה על מה שעשה השחקן הלא אתי; זה הדגיש כי התוקף ביצע את הניצול על ידי שליטה מסוימת בבעלים של MultiSigWallet להתקשר ישירות לעסקאות האישור כדי להעביר כמויות גבוהות של אסימונים מ הרמוניה גשר
מקור: https://www.thecoinrepublic.com/2022/06/25/harmonys-harmony-disrupted-analysts-says-100m-attacker-gained-control-of-multi-sig-wallet/