被盗1亿美元的Harmony 验证者节点安全如何保障?_ETH:SunContract

2022年6月24日,成都链安链必应-区块链安全态势感知平台舆情监测显示,由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。目前Harmony官方已通知交易所并暂停了Horizon跨链桥。成都链安安全团队对此事件进行了分析,现与大家分享。

HarmonyBridge是一个跨链桥项目,由五个验证者节点进行操作验证,本次攻击主要原因是由于两个验证者节点的私钥疑似泄露,导致合约的confirmTransaction函数被成功调用。

派盾:Parity 2017年被盗资金发生异动,990枚ETH被转移到Tornado Cash:3月15日消息,派盾在社交媒体上提醒,2017年盗窃Parity多签钱包的一个黑客地址目前出现异动,链上数据显示该地址中的990枚ETH已经被转移到Tornado Cash。

此前报道,2017年,一名黑客利用了Parity钱包的漏洞,转移了超过15 万ETH(在被黑客攻击时大约3000万美元),此后追回377,000枚,随后黑客将获得的ETH 发送至7个地址,此次异动的地址为其中之一。[2022/3/15 13:57:18]

Seascape投资者账号被盗,约50万美元已存入混币平台:3月1日消息,游戏生态系统平台SeascapeNetwork表示一位早期投资人的私钥于今日代币释放后被盗,导致黑客获取了投资人钱包中的18,750CWS。

经Etherscan数据查证,该地址已经将CWS全部换为ETH,然后多次充值至以太坊混币平台Tornado.Cash,接近330ETH,折合约50万美元。[2021/3/1 18:04:44]

#攻击过程

攻击者地址:

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

美国一男子被控参与欺诈计划 涉及使用BTC购买被盗个人数据:美国新罕布什尔州的一名男子Jonathan Nguyen已联邦检察官被指控参与一项欺诈计划,该计划涉及使用比特币购买属于全国各地人们的被盗个人数据。Nguyen或将面临最高5年的监禁,3年的监管释放以及至少25万美元的罚款。(Insurance Journal)[2020/5/30]

私钥疑似泄露地址:

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

动态 | 币安被盗BTC被黑客分散至20个主要地址 尚未扩散:据PeckShield数字资产护航系统数据显示,截止目前,币安热钱包被盗损失的7,074枚BTC暂时被黑客分散存储于20个主要地址,尚未进一步扩散。PeckShield正持续追踪资金进一步流向。PeckShield安全人员分析发现,黑客通过钓鱼等方式搜集币安用户账号信息,然后于北京时间05月08日 01:17:18采用71个账号并发API提币操作,最终于块高度575013实施了攻击(和币安公告的块高度575012相差一个块)。[2019/5/8]

被攻击合约:

0x715cdda5e9ad30a0ced14940f9997ee611496de6

示例哈希:

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

被攻击的transactionId:21106-21118(eth),120515-120518(bsc)

私钥泄露地址0x812d......8f25地址调用了0x715c......6de6合约的confirmTransaction函数进行操作验证,此处我们以被攻击的transactionId:21107进行分析。

可以发现在本次交易中,isConfirmed的验证返回为true。

但是我们在合约中进行验证者节点查询会发现,虽然owner有五个,但是仅有两名验证者进行了验证。

攻击者就利用这两个验证者节点成功使用external_call获取了相应的代币,并反复利用此攻击来获利。

后续项目方通过transactionId为21126的交易将验证者节点confirm通过的数量从2改为了4。

#资金追踪

本次攻击事件以太坊上损失了85,867个ETH,990个AAVE和78,500,000个AAG,BSC上损失了5,000个BNB和640,000个BUSD,共计约100,428,116美元,目前被盗资金还保存在攻击者地址。成都链安将用链必追对被盗资金进行持续追踪。

#事件总结

这次攻击事件中,攻击者利用了验证者节点验证通过需求数量较少的情况,利用两个验证者节点从而盗取了上亿美金的资产。建议项目方在设计验证者节点验证数量需求尽量选择较多节点,并且做好验证者节点的节点安全。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-4:495ms