被盜1億美元的Harmony 驗證者節點安全如何保障？_ION:ACTN幣

2022年6月24日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊，損失金額約為1億美元。目前Harmony官方已通知交易所并暫停了Horizon跨鏈橋。成都鏈安安全團隊對此事件進行了分析，現與大家分享。

HarmonyBridge是一個跨鏈橋項目，由五個驗證者節點進行操作驗證，本次攻擊主要原因是由于兩個驗證者節點的私鑰疑似泄露，導致合約的confirmTransaction函數被成功調用。

蘋果向開發者開放Vision Pro頭顯使用申請，需簽保密協議:7月25日消息，蘋果(AAPL.O)開放了其頭顯設備Vision Pro開發者套件的申請，開發者得以使用實際硬件來構建和微調應用程序。但設備是借用而非出售，在Vision Pro明年正式上市后，開發者需要將其歸還給蘋果。蘋果技術人員還將與開發者進行溝通，并提供代碼審查。此外，開發者必須簽署保密協議，且禁止在個人或社交媒體間公開討論該硬件。蘋果還將允許一些開發者在倫敦、上海和東京等城市的“實驗室”使用這些硬件。[2023/7/25 15:56:28]

Maps.me和Oxygen：超過95%的代幣存放在FTX中:金色財經報道，由Alameda Research支持的DeFi項目Maps.me和Oxygen周二發布聲明稱，超過95%的代幣供應存放在加密交易所FTX中。聲明中還表示，項目團隊正在考慮所有能夠保護平臺的選項，并已聘請法律顧問提供幫助。2021年1月，Alameda領投了Maps.me 5000萬美元的融資，該項目提供類似于谷歌地圖的服務，約有1億用戶。一個月后，Alameda又領投了DeFi經紀公司Oxygen 4000萬美元的融資，并希望將Oxygen整合到Maps.me中。[2022/11/16 13:10:10]

#攻擊過程

Coinbase員工因Tornado Cash被列入制裁名單向法院提起訴訟:金色財經報道，加密貨幣交易所Coinbase兩名員工在內的六人向美國德克薩斯州西區地方法院就財政部將Tornado Cash列入制裁名單的決定提起訴訟，Coinbase將對訴訟提供財務支持。本次訴訟的原告方表示，此舉超出了財政部的權限，并導致個人財產被鎖定在Tornado Cash中，也損害了想要保護個人隱私的用戶的權利，要求法院將Tornado Cash從財政部制裁名單中移除。（CNBC）[2022/9/8 13:17:45]

攻擊者地址：

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

Loud宣布成立一家新母公司，專注于NFT、加密游戲等領域:金色財經報道，電子競技和游戲公司Loud宣布成立一家新的母公司Spacecaps，其部門專注于Solana驅動的NFT、加密游戲以及對粉絲的代幣化激勵。

Loud聯合創始人Matthew Ho表示?， Web3提供了與粉絲建立更多互利關系并徹底改革電子競技團隊模式的潛在方法。

我們開始尋找直接面向消費者的方式，并創造直接為我們的受眾增加價值的體驗，這樣做，讓我們能夠找到一種更可持續的方式來實現貨幣化并解決這一巨大的問題。[2022/9/2 13:03:31]

私鑰疑似泄露地址：

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

被攻擊合約：

0x715cdda5e9ad30a0ced14940f9997ee611496de6

示例哈希：

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

被攻擊的transactionId:21106-21118(eth),120515-120518(bsc)

私鑰泄露地址0x812d......8f25地址調用了0x715c......6de6合約的confirmTransaction函數進行操作驗證，此處我們以被攻擊的transactionId：21107進行分析。

可以發現在本次交易中，isConfirmed的驗證返回為true。

但是我們在合約中進行驗證者節點查詢會發現，雖然owner有五個，但是僅有兩名驗證者進行了驗證。

攻擊者就利用這兩個驗證者節點成功使用external_call獲取了相應的代幣，并反復利用此攻擊來獲利。

后續項目方通過transactionId為21126的交易將驗證者節點confirm通過的數量從2改為了4。

#資金追蹤

本次攻擊事件以太坊上損失了85,867個ETH，990個AAVE和78,500,000個AAG，BSC上損失了5,000個BNB和640,000個BUSD，共計約100,428,116美元，目前被盜資金還保存在攻擊者地址。成都鏈安將用鏈必追對被盜資金進行持續追蹤。

#事件總結

這次攻擊事件中，攻擊者利用了驗證者節點驗證通過需求數量較少的情況，利用兩個驗證者節點從而盜取了上億美金的資產。建議項目方在設計驗證者節點驗證數量需求盡量選擇較多節點，并且做好驗證者節點的節點安全。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

來源：金色財經

Tags：IONSACTCTIACTRevolutionVRSACT幣RafflectionACTN幣

火幣網下載官方app