2022年6月24日,成都链安链必应-区块链安全态势感知平台舆情监测显示,由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。目前Harmony官方已通知交易所并暂停了Horizon跨链桥。成都链安安全团队对此事件进行了分析,现与大家分享。
HarmonyBridge是一个跨链桥项目,由五个验证者节点进行操作验证,本次攻击主要原因是由于两个验证者节点的私钥疑似泄露,导致合约的confirmTransaction函数被成功调用。
某鲸鱼地址8小时前将7天内累积的1600万枚FTM存入币安并出售:7月15日消息,据Lookonchain监测,受Multichain事件影响,某鲸鱼地址8小时前将过去7天累积的1600万枚FTM(480万美元)全部存入币安进行出售。目前已提取270万枚USDT,FTM价格约为0.3美元,且目前仍在卖出FTM。
在过去的7天里,该鲸鱼向币安存入了380万枚USDC,并提取了1600万枚FTM,平均买入价格为0.24美元,这意味着总利润约为98.5万美元。[2023/7/15 10:56:51]
美国银行和富达在2023年第一季度均成为MicroStrategy的前10大股东:金色财经报道,Bitcoin News在社交媒体上称,美国银行和富达在 2023 年第一季度均成为 MicroStrategy 的前 10 大股东。[2023/4/8 13:51:08]
#攻击过程
攻击者地址:
0x0d043128146654C7683Fbf30ac98D7B2285DeD00
私钥疑似泄露地址:
0xf845A7ee8477AD1FB4446651E548901a2635A915
0x812d8622C6F3c45959439e7ede3C580dA06f8f25
被攻击合约:
Ceramic推出ComposeDB,优化开发人员访问构建功能:3月9日消息,去中心化内容计算网络Ceramic发布ComposeDB,使开发人员能够更轻松地在网络上进行构建。ComposeDB的推出是使开发人员可以轻松访问该网络的关键一步,使其他项目能够使用它来存储自己的数据或访问已经存在的数据。
据悉,Ceramic是一个开放网络,专为web3应用程序设计,用于存储任何人都可以访问的数据。[2023/3/9 12:52:18]
0x715cdda5e9ad30a0ced14940f9997ee611496de6
示例哈希:
0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65
腾讯云副总裁:公司的元宇宙技术在2B领域有应用场景:金色财经报道,9月3日,在2022世界人工智能大会期间,腾讯云副总裁、腾讯优图实验室总经理吴运声称,元宇宙是一个非常广泛的概念,涉及的领域很多,我们不会有一个专门的团队负责元宇宙。此外,对于技术的落地,我们不会明确的区分2B还是2C的,公司的元宇宙技术在2B领域有应用场景(例如宝武钢铁),在面向C端的QQ元宇宙也有很多的尝试。所以我们在落地的时候,不会非常强烈的去展示说2B还是2C,只会看我们的技术能够给人们的生活、生产带来什么实实在在的价值,或者便利。[2022/9/4 13:07:35]
被攻击的transactionId:21106-21118(eth),120515-120518(bsc)
私钥泄露地址0x812d......8f25地址调用了0x715c......6de6合约的confirmTransaction函数进行操作验证,此处我们以被攻击的transactionId:21107进行分析。
美联储将基准利率上调75个基点至2.25%-2.50%区间:金色财经报道,美联储将基准利率上调75个基点至2.25%-2.50%区间,为连续两次加息75个基点。美联储FOMC声明:委员会高度关注通胀风险。将按计划在9月份加速缩表,抵押贷款支持证券(MBS)的每月缩减上限将升至350亿美元,而国债的每月缩减上限将升至600亿美元。[2022/7/28 2:42:08]
可以发现在本次交易中,isConfirmed的验证返回为true。
但是我们在合约中进行验证者节点查询会发现,虽然owner有五个,但是仅有两名验证者进行了验证。
攻击者就利用这两个验证者节点成功使用external_call获取了相应的代币,并反复利用此攻击来获利。
后续项目方通过transactionId为21126的交易将验证者节点confirm通过的数量从2改为了4。
#资金追踪
本次攻击事件以太坊上损失了85,867个ETH,990个AAVE和78,500,000个AAG,BSC上损失了5,000个BNB和640,000个BUSD,共计约100,428,116美元,目前被盗资金还保存在攻击者地址。成都链安将用链必追对被盗资金进行持续追踪。
#事件总结
这次攻击事件中,攻击者利用了验证者节点验证通过需求数量较少的情况,利用两个验证者节点从而盗取了上亿美金的资产。建议项目方在设计验证者节点验证数量需求尽量选择较多节点,并且做好验证者节点的节点安全。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。