Блокчейн Horizon Bridge к первому уровню Harmony One был использован за 100 миллионов долларов в альткойнах, которые обмениваются на эфир (ETH).
Взлом может подтвердить ранее высказанные опасения сообщества по поводу надежности двух из четырех мультиподписей, которые, как сообщается, защищают мост.
Примерно с 7:08 до 7:26 по восточному времени с моста было совершено 11 транзакций для различных токенов. С тех пор они начали отправлять токены в другой кошелек для обмена на ETH на децентрализованной бирже Uniswap (DEX), а затем отправлять ETH обратно в исходный кошелек.
1/ Команда Harmony выявила кражу, произошедшую сегодня утром на мосту Горизонт, на сумму прибл. 100 миллионов долларов. Мы начали работать с национальными властями и судебно-медицинскими экспертами, чтобы установить виновного и вернуть украденные средства.
— Гармония (@harmonyprotocol) 23 июня 2022 г.
Более
Пока что Frax (FRAX), Wrapped Ether (WETH). Aave (Aave), Sushi (SUSHI), Frax Share (FXS), AAG (AAG), Binance USD (BUSD). Благодаря этому эксплойту с моста были украдены DAI (DAI), Tether (USDT), Wrapped BTC (WBTC) и USD Coin (USDC).
Horizon Bridge облегчает передачу токенов между Harmony и сетью Ethereum, Binance Chain и Bitcoin. Хармони, оператор моста, поздно вечером 23 июня объявила, что мост остановлен. В нем говорится, что мост BTC и его активы не пострадали от атаки.
Команда Harmony One также заявила, что работает с «национальными властями и судебно-медицинскими экспертами», чтобы определить, кто несет ответственность. Вскрытие обязательно последует.
Разработчики и соучредитель Harmony One Ник Уайт не ответили на запросы о комментариях. Harmony One — это блокчейн уровня 1, использующий консенсус Proof-of-Stake. Его родной токен — ONE.
Ранее высказывались опасения по поводу надежности мультиподписного кошелька Horizon на Ethereum, для вывода средств из которого требовалось только два из четырех подписантов. Основатель венчурного фонда Chainstride Capital, ориентированного на криптовалюту, Ape Dev 2 апреля отметил в Твиттере, что небольшое количество необходимых подписантов оставит мост открытым для «еще одного 9-значного взлома».
Безопасность моста в настоящее время основана на мультиподписном кошельке, развернутом по адресу 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. У него четыре владельца, двое из которых должны дать согласие на совершение произвольной транзакции (т. е. слить 330 миллионов долларов). pic.Twitter.com/sgYmyPrYgf
— Обезьяна Дев (@_apedev) 1 апреля 2022 г.
Предсказание Ape Dev, похоже, стало реальностью, поскольку активы моста потеряли 100 миллионов долларов.
Он далеко не единственный разработчик в области криптографии, у которого есть сомнения по поводу безопасности токен-мостов.
Виталик Бутерин обсуждал проблемы с мостами токенов в сообщении Reddit в январе этого года. Он утверждал, что когда мосты эксплуатируются, это угрожает ликвидности в каждой затронутой цепочке. Он добавил, что по мере увеличения количества токеновых мостов угроза атаки 51% на одну цепочку может представлять больший риск заражения для других.
С момента его предсказания мост токенов Метера, мост Ронинов Axie Inifinity и мост червоточины были использованы каждый на общую сумму почти в 1 миллиард долларов.
Национальные власти и судебно-медицинские эксперты должны провести расследование *вас*, чтобы выяснить, какие нарушения правил безопасности позволили совершить эту «кражу».
— Крис Блек (@ChrisBlec) 24 июня 2022 г.
Мультиподписи — это постоянная проблема безопасности при атаках. Мост Ronin был защищен девятью валидаторами, только пять из которых были необходимы для проверки транзакции. Злоумышленник получил контроль над необходимыми пятью валидаторами и вывел активы на сумму более 600 миллионов долларов.
Похоже, что рынок еще не отреагировал на атаку, поскольку цены на все рассматриваемые монеты и токены не изменились значительно. Однако за последние 24 часа ONE упал на 7,4%, причем большая часть падения пришлась на последние 5 часов. По данным CoinGecko, он торгуется по цене 0,024 доллара.
Источник