SACT:被盗1亿美元的Harmony 验证者节点安全如何保障？_比特币今日价格行情美元

2022年6月24日，成都链安链必应-区块链安全态势感知平台舆情监测显示，由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击，损失金额约为1亿美元。目前Harmony官方已通知交易所并暂停了Horizon跨链桥。成都链安安全团队对此事件进行了分析，现与大家分享。

HarmonyBridge是一个跨链桥项目，由五个验证者节点进行操作验证，本次攻击主要原因是由于两个验证者节点的私钥疑似泄露，导致合约的confirmTransaction函数被成功调用。

金色午报 | 6月26日午间重要动态一览:7:00-12:00关键词：华为、比特币期权、CSW、Compound

1.美国新冠肺炎确诊病例累计超250万例。

2.华为发布区块链保险业防欺诈解决方案。

3.今日有10亿美元的比特币期权交易到期。

4.Compound治理提案010已通过 可在两天后执行。

5.为促使法官驳回Kleiman方指控 CSW自称患有“自闭症”。

6.SEC与Telegram达成和解 后者将支付1850万美元民事罚款。

7.CySEC将五家未授权公司列入黑名单 部分提供加密货币相关服务。[2020/6/26]

金色晨讯 | 比特币不具备证券属性 Tether重启帐户验证:1.SEC主席：比特币ETF获批前需解决市场操纵问题

2.SEC主席：已经确定比特币不具备证券属性

3.Coinbase为机构投资者推出交易柜台

4.泰国主要数字资产交易所TDAX将发行STO

5.经济参考报：区块链等金融科技监管将升级

6.VanEck正与纳斯达克合作推出受监管的加密期货合约

7.安联首席经济顾问：数字货币仍将存活下去

8.工信部副部长王江平：利用区块链等技术提高中小企业适应市场的能力

9.Tether重新开启帐户验证 并可直接从其平台赎回法币[2018/11/28]

#攻击过程

金色相对论 | 高建武：STO是一个数万亿美元的规模的市场:本期金色相对论中，GVC引力资本创始人&CEO高建武就“STO来袭将如何影响市场”的问题发表看法，高建武表示，像比特币这样的加密货币被认为是“编程货币”，那么可以将证券型通证ST视为“可编程所有权”的版本。这意味着任何拥有所有权的资产都可以并且将被TOKEN化公共和私人股权，债务，房地产等。正如比特币改变货币一样，STO将不可避免地改变股权，因为它们为所有者提供直接、流动的经济利益和快速交付收益。每种类型的所有权都可以被代币化（tokenize），这是一个巨大的数万亿美元的规模的市场。

目前已经看到STO的发展取得了显着进展，但要扩大STO的范围和能力还有很多工作要做。第一批专门研究STO的交易所刚刚开始上线。Polymath和Harbour等公司正忙于为标记化资产和ST制定标准。[2018/10/12]

攻击者地址：

金色财经现场报道 Kik首席执行官：比特币加个将在7年内接近零:金色财经现场报道，今日在Coindesk 2018共识会议上，Kik首席执行官与eToro首席执行官Yoni Assia打，称比特币加个将在7年内接近零。[2018/5/16]

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

私钥疑似泄露地址：

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

被攻击合约：

0x715cdda5e9ad30a0ced14940f9997ee611496de6

示例哈希：

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

被攻击的transactionId:21106-21118(eth),120515-120518(bsc)

私钥泄露地址0x812d......8f25地址调用了0x715c......6de6合约的confirmTransaction函数进行操作验证，此处我们以被攻击的transactionId：21107进行分析。

可以发现在本次交易中，isConfirmed的验证返回为true。

但是我们在合约中进行验证者节点查询会发现，虽然owner有五个，但是仅有两名验证者进行了验证。

攻击者就利用这两个验证者节点成功使用external_call获取了相应的代币，并反复利用此攻击来获利。

后续项目方通过transactionId为21126的交易将验证者节点confirm通过的数量从2改为了4。

#资金追踪

本次攻击事件以太坊上损失了85,867个ETH，990个AAVE和78,500,000个AAG，BSC上损失了5,000个BNB和640,000个BUSD，共计约100,428,116美元，目前被盗资金还保存在攻击者地址。成都链安将用链必追对被盗资金进行持续追踪。

#事件总结

这次攻击事件中，攻击者利用了验证者节点验证通过需求数量较少的情况，利用两个验证者节点从而盗取了上亿美金的资产。建议项目方在设计验证者节点验证数量需求尽量选择较多节点，并且做好验证者节点的节点安全。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计，规避安全风险。

来源：金色财经

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。