Jeudi, Harmony, une blockchain de preuve de participation (PoS), a perdu 100 millions de dollars suite à un vol sur son pont lié à Ethereum.
Le pirate anonyme a volé plusieurs actifs, notamment ETH, BNB, USDT, USDC et DAI. Ces actifs étaient auparavant reliés d'Ethereum à la blockchain Harmony via le pont Horizon.
En réponse, Harmony a déclaré qu'elle travaillait avec les forces de l'ordre et les entreprises de cybersécurité. Pourtant, l'équipe n'a pas expliqué comment le piratage a eu lieu.
Alors que l'équipe Harmony n'a pas encore fourni de post-mortem officiel, des experts en sécurité ont offert quelques informations sur le piratage. Selon Mudit Gupta, responsable de la sécurité de l'information de Polygon, l'auteur a pris le contrôle du portefeuille multi-signatures utilisé pour déployer Harmony's pont.
A Le portefeuille multi-signatures est un compte de contrat intelligent géré avec plusieurs clés privées, réparties entre plusieurs entités plutôt qu'une seule personne. Gupta a découvert que les fonds du portefeuille du pont nécessitaient l'autorisation d'au moins deux des cinq clés privées au total, donc tL'auteur peut avoir extrait deux clés privées et pris le contrôle.
«Le pont était essentiellement un 2 sur 5 multi-sig. Si 2 adresses lui ont dit de transférer des fonds à quelqu'un, il l'a fait », Gupta a affirmé Valérie Plante.. "Le pirate a compromis 2 adresses et leur a fait perdre de l'argent."
CertiK, une société de sécurité des contrats intelligents, a confirmé que le pirate avait en fait ciblé le portefeuille multi-signatures du pont. Dans un rapport de vendredi, CertiK a déclaré : "L'attaquant a accompli cet [exploit] en contrôlant d'une manière ou d'une autre le propriétaire du MultiSigWallet pour appeler directement le confirmTransaction() pour transférer de grandes quantités de jetons depuis le pont sur Harmony."
Ceci est une histoire en développement. Harmony n'a pas immédiatement répondu à une demande de commentaire.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
A propos
Vishal Chawla est un journaliste qui a couvert les tenants et les aboutissants de l'industrie technologique pendant plus d'une demi-décennie. Avant de rejoindre The Block, Vishal a travaillé pour des entreprises de médias telles que Crypto Briefing, IDG ComputerWorld et CIO.com.
Source : https://www.theblock.co/post/154029/harmonys-100-million-hacker-took-control-of-its-multi-signature-wallet-analysts-say?utm_source=rss&utm_medium=rss