Horizon Bridge to the Harmony layer-1 blockchain ถูกใช้เป็นเงิน 100 ล้านดอลลาร์ใน altcoins ซึ่งกำลังแลกกับ Ether (ETH)
การแฮ็กอาจพิสูจน์ให้เห็นถึงความกังวลของชุมชนที่เคยยกมาก่อนหน้านี้เกี่ยวกับความปลอดภัยของลายเซ็นดิจิทัล สองในสี่ที่มีรายงานว่ายึด bridge ไว้
เริ่มเวลาประมาณ 07:08 น. ถึง 07:26 น. ET มีการทำธุรกรรม 11 รายการจาก bridge สำหรับโทเค็นต่างๆ พวกเขาได้เริ่มส่งโทเค็นไปยัง Wallet อื่นเพื่อแลกเปลี่ยนเป็น ETH ในการแลกเปลี่ยนแบบกระจายอำนาจ Uniswap (DEX) จากนั้นส่ง ETH กลับไปที่ Wallet เดิม
1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.
— Harmony 💙 (@harmonyprotocol) June 23, 2022
More 🧵
จนถึงตอนนี้ Frax (FRAX), Wrapped Ether (WETH) Aave (AAVE), Sushi (SUSHI), Frax Share (FXS), AAG (AAG), Binance USD (BUSD) Dai (DAI), Tether (USDT), Wrapped BTC (WBTC) และ USD Coin (USDC) ถูกขโมยจาก bridge ผ่านช่องโหว่นี้
Horizon Bridge อำนวยความสะดวกในการโอนโทเค็นระหว่าง Harmony และเครือข่าย Ethereum, Binance Chain และ Bitcoin Harmony ผู้ดำเนินการ bridge ประกาศเมื่อวันที่ 23 มิถุนายนว่า bridge ได้หยุดลงแล้ว กล่าวว่า BTC bridge และทรัพย์สินไม่ได้รับผลกระทบจากการโจมตี
ทีม Harmony ยังกล่าวอีกว่ากำลังทำงานร่วมกับ “หน่วยงานระดับชาติและผู้เชี่ยวชาญทางกฎหมาย” เพื่อตัดสินว่าใครเป็นผู้รับผิดชอบ การชันสูตรพลิกศพจะต้องตามมาอย่างแน่นอน
นักพัฒนาและผู้ร่วมก่อตั้ง Harmony Nick White ไม่ตอบสนองต่อคำร้องขอความคิดเห็น Harmony เป็นบล็อคเชน layer-1 โดยใช้ข้อตกลงที่พิสูจน์การมีส่วนได้เสีย โทเค็นดั้งเดิมนั้นคือ ONE
ก่อนหน้านี้ได้มีการแสดงความกังวลเกี่ยวกับความมั่นคงของWallet multisig ของ Horizon บน Ethereum ซึ่งต้องการเพียงสองในสี่ผู้ลงนามเพื่อระบายเงิน ผู้ก่อตั้ง Ape Dev กองทุนร่วมลงทุนที่เน้น Crypto ของ Chainstride Capital ตั้งข้อสังเกตบน Twitter เมื่อวันที่ 2 เมษายนว่าผู้ลงนามที่จำเป็นจำนวนน้อยจะทำให้ bridge เปิดสำหรับ “การแฮ็กตัวเลขอีก 9 แบบ”
The security of the bridge is currently predicated on a multisig wallet deployed at 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. It has four owners, two of which are required to consent in order to execute an arbitrary transaction (i.e. drain the $330m). pic.twitter.com/sgYmyPrYgf
— Ape Dev (@_apedev) April 1, 2022
การคาดการณ์ของ Ape Dev ดูเหมือนจะกลายเป็นความจริงแล้ว เนื่องจากตอนนี้ bridge มีสินทรัพย์ลดลง 100 ล้านดอลลาร์
เขาอยู่ไกลจากนักพัฒนาคนเดียวใน crypto ที่ไม่มั่นใจในความปลอดภัยของโทเค็น bridges
Vitalik Buterin ได้พูดคุยถึงปัญหาต่างๆ เกี่ยวกับโทเค็นบริดจ์ในโพสต์ของ Reddit เมื่อเดือนมกราคมที่ผ่านมา เขาตั้งข้อสังเกตว่าเมื่อสะพานถูกเอารัดเอาเปรียบ มันจะคุกคามสภาพคล่องในแต่ละห่วงโซ่ที่ได้รับผลกระทบ เขาเสริมว่าเมื่อปริมาณของโทเคน bridges เพิ่มขึ้น ภัยคุกคามจากการโจมตี 51% ในห่วงโซ่เดียวอาจก่อให้เกิดความเสี่ยงในการติดต่อกับผู้อื่นมากขึ้น
นับตั้งแต่การคาดการณ์ของเขา โทเค็น bridge ของ Meter, Ronin bridge ของ Axie Inifinity และ Wormhole bridge ต่างก็ถูกเอารัดเอาเปรียบกันเกือบ 1 พันล้านดอลลาร์
The national authorities and forensic specialists should be investigating *you* to figure out what kind of broken security practices allowed this "theft" to happen.
— Chris Blec (@ChrisBlec) June 24, 2022
Multisigs เป็นปัญหาด้านความปลอดภัยอย่างต่อเนื่องในการโจมตี Ronin Bridge ได้รับการรักษาความปลอดภัยโดยผู้ตรวจสอบความถูกต้องเก้าคน โดยมีเพียงห้าคนเท่านั้นที่ต้องใช้เพื่อยืนยันการทำธุรกรรม ผู้โจมตีเข้าควบคุมผู้ตรวจสอบความถูกต้อง 5 รายและดึงทรัพย์สินมูลค่ากว่า 600 ล้านดอลลาร์
ดูเหมือนว่าตลาดจะยังไม่ตอบสนองต่อการโจมตีดังกล่าว เนื่องจากราคาของเหรียญและโทเค็นทั้งหมดที่เป็นปัญหาไม่ได้เคลื่อนไหวอย่างมีนัยสำคัญ อย่างไรก็ตาม ONE ร่วงลง 7.4% ในช่วง 24 ชั่วโมงที่ผ่านมา โดยส่วนมากจะร่วงลงมาในช่วง 5 ชั่วโมงที่ผ่านมา มีการซื้อขายที่ 0.024 ดอลลาร์ตาม CoinGecko
ที่มา : cointelegraph