2022年6月24日,成都链安链必应-区块链安全态势感知平台舆情监测显示,由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。目前Harmony官方已通知交易所并暂停了Horizon跨链桥。成都链安安全团队对此事件进行了分析,现与大家分享。
HarmonyBridge是一个跨链桥项目,由五个验证者节点进行操作验证,本次攻击主要原因是由于两个验证者节点的私钥疑似泄露,导致合约的confirmTransaction函数被成功调用。
金色午报 | 6月26日午间重要动态一览:7:00-12:00关键词:华为、比特币期权、CSW、Compound
1.美国新冠肺炎确诊病例累计超250万例。
2.华为发布区块链保险业防欺诈解决方案。
3.今日有10亿美元的比特币期权交易到期。
4.Compound治理提案010已通过 可在两天后执行。
5.为促使法官驳回Kleiman方指控 CSW自称患有“自闭症”。
6.SEC与Telegram达成和解 后者将支付1850万美元民事罚款。
7.CySEC将五家未授权公司列入黑名单 部分提供加密货币相关服务。[2020/6/26]
金色晨讯 | 比特币不具备证券属性 Tether重启帐户验证:1.SEC主席:比特币ETF获批前需解决市场操纵问题
2.SEC主席:已经确定比特币不具备证券属性
3.Coinbase为机构投资者推出交易柜台
4.泰国主要数字资产交易所TDAX将发行STO
5.经济参考报:区块链等金融科技监管将升级
6.VanEck正与纳斯达克合作推出受监管的加密期货合约
7.安联首席经济顾问:数字货币仍将存活下去
8.工信部副部长王江平:利用区块链等技术提高中小企业适应市场的能力
9.Tether重新开启帐户验证 并可直接从其平台赎回法币[2018/11/28]
#攻击过程
金色相对论 | 高建武:STO是一个数万亿美元的规模的市场:本期金色相对论中,GVC引力资本创始人&CEO高建武就“STO来袭将如何影响市场”的问题发表看法,高建武表示,像比特币这样的加密货币被认为是“编程货币”,那么可以将证券型通证ST视为“可编程所有权”的版本。这意味着任何拥有所有权的资产都可以并且将被TOKEN化公共和私人股权,债务,房地产等。正如比特币改变货币一样,STO将不可避免地改变股权,因为它们为所有者提供直接、流动的经济利益和快速交付收益。每种类型的所有权都可以被代币化(tokenize),这是一个巨大的数万亿美元的规模的市场。
目前已经看到STO的发展取得了显着进展,但要扩大STO的范围和能力还有很多工作要做。第一批专门研究STO的交易所刚刚开始上线。Polymath和Harbour等公司正忙于为标记化资产和ST制定标准。[2018/10/12]
攻击者地址:
金色财经现场报道 Kik首席执行官:比特币加个将在7年内接近零:金色财经现场报道,今日在Coindesk 2018共识会议上,Kik首席执行官与eToro首席执行官Yoni Assia打,称比特币加个将在7年内接近零。[2018/5/16]
0x0d043128146654C7683Fbf30ac98D7B2285DeD00
私钥疑似泄露地址:
0xf845A7ee8477AD1FB4446651E548901a2635A915
0x812d8622C6F3c45959439e7ede3C580dA06f8f25
被攻击合约:
0x715cdda5e9ad30a0ced14940f9997ee611496de6
示例哈希:
0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65
被攻击的transactionId:21106-21118(eth),120515-120518(bsc)
私钥泄露地址0x812d......8f25地址调用了0x715c......6de6合约的confirmTransaction函数进行操作验证,此处我们以被攻击的transactionId:21107进行分析。
可以发现在本次交易中,isConfirmed的验证返回为true。
但是我们在合约中进行验证者节点查询会发现,虽然owner有五个,但是仅有两名验证者进行了验证。
攻击者就利用这两个验证者节点成功使用external_call获取了相应的代币,并反复利用此攻击来获利。
后续项目方通过transactionId为21126的交易将验证者节点confirm通过的数量从2改为了4。
#资金追踪
本次攻击事件以太坊上损失了85,867个ETH,990个AAVE和78,500,000个AAG,BSC上损失了5,000个BNB和640,000个BUSD,共计约100,428,116美元,目前被盗资金还保存在攻击者地址。成都链安将用链必追对被盗资金进行持续追踪。
#事件总结
这次攻击事件中,攻击者利用了验证者节点验证通过需求数量较少的情况,利用两个验证者节点从而盗取了上亿美金的资产。建议项目方在设计验证者节点验证数量需求尽量选择较多节点,并且做好验证者节点的节点安全。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。