Новости Хакер изящно и демонстративно обчистил на $100 млн кошельки известной блокчейн-фирмы

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.840
Реакции
277.292
RUB
0
Хакеру загадочным образом удалось вывести из кошельков на платформе Harmony более $99 млн в виде Ethereum. Владельцы Harmony объявили награду в $1 млн за возвращение украденного. Есть некоторые признаки того, что это была демонстрация возможностей.






[H2]85 тыс. ETH или $99,3 млн[/H2]

Злоумышленник вывел криптовалютных активов Ethereum на общую сумму чуть менее $100 млн из известной блокчейн-компании Harmony.


Основная платформа , Horizon Bridge — это кроссчейн-мост, который позволяет переводить между разными блокчейнами. воспользовались им для вывода 85837,3 ETH, что примерно равно $99,3 млн, на свой кошелек.


По данным компании CertiK, проанализировавшей инцидент, злоумышленники смогли получить доступ к мультисигнатурным кошелькам Horizon и вывести средства.


«23 июня 2022 г.... мост между блокчейном Harmony и подвергся серийной эксплуатации, — говорится в публикации CertiK. — Нам удалось идентифицировать 12 несанкционированных транзакций и три кошелька, принадлежавших злоумышленнику. В рамках этих транзакций злоумышленник перехватил различные токены из моста, в том числе ETH, USDC, WBTC, , DAI, BUSD, AAG, , SUSHI, AAVE, WETH и FRAX. Транзакции были неравнозначны по суммам, но их диапазон составлял от $49,2 тыс. до $41,2 млн. Злоумышленнику удалось этого достичь, каким-то образом добившись от владельца MultiSigWallet вызова прямой транзакции confirmTransaction… для прямого вывода большого количества токенов из моста в Harmony. Все эти средства злоумышленник сосредоточил на одном основном адресе».

В Harmony отметили, что злоумышленникам удалось скомпрометировать приватные ключи. При этом в компании продолжают утверждать, что ключи хранились надежно, в дважды зашифрованном виде, и доступа к ним в plaintext с одной конкретной машины получить было невозможно.


Однако «Злоумышленник сумел получить доступ и дешифровать ряд ключей, в том числе тех, которые использовались до подписи неавторизованной транзакции, и захватить активы в форме BUSB, , ETH и WBTC, — говорится в заявлении Harmony. — Все эти активы затем были сконвертированы в ETH и на данный момент остаются в аккаунте хакера в блокчейне Ethereum. К настоящему времени хакер не предпринимал никаких мер, чтобы анонимизировать эти активы». В компании также заявили, что речи о компрометации системы смарт-контрактов или уязвимостях в самой платформе Horizon и что средства были украдены «на стороне Ethereum».


[H2]$1 млн за возвращение средств и технические подробности[/H2]

Компания назначила награду в $1 млн за возвращение украденных активов и за техническую информацию об атаке, пообещав также не выдвигать уголовных обвинений в случае возвращения украденного.


«То, что взломщик не пытался анонимизировать выведенные средства, может указывать на демонстративную природу этой атаки, — полагает , эксперт по информационной безопасности компании . — И, похоже, в Harmony тоже подозревают, что кто-то в произвел несанкционированное "пентестирование", чтобы продемонстрировать возможность обойти существующие средства безопасности блокчейнов. Отсюда и обещание крупного вознаграждения. Но точно пока ничего сказать нельзя».


Летом 2021 г. неизвестный хакер успешно криптобиржу и выкрал в общей сложности активов более чем на $610 млн. Однако вскоре он вернул все средства, заявив, что лишь хотел продемонстрировать в платформе, и получил вознаграждение в размере $500 тыс.







 
Сверху Снизу