$ 100M . के लिए हार्मनी का क्रॉस-चेन ब्रिज शोषित

हार्मनी टीम ने पुष्टि की है कि विभिन्न टोकन में लगभग 100 मिलियन डॉलर के लिए क्षितिज पुल का शोषण किया गया है।

$ 100M . के लिए हार्मनी ब्रिज हिट

हार्मनी, एक ईवीएम-संगत प्रूफ-ऑफ-स्टेक ब्लॉकचैन, ने अपने क्षितिज क्रॉस-चेन ब्रिज का एक प्रमुख सुरक्षा उल्लंघन में शोषण किया है।

1/ हार्मनी टीम ने आज सुबह होरिजन ब्रिज पर लगभग होने वाली चोरी की पहचान की है। $ 100 मिमी। हमने अपराधी की पहचान करने और चुराए गए धन को पुनः प्राप्त करने के लिए राष्ट्रीय अधिकारियों और फोरेंसिक विशेषज्ञों के साथ काम करना शुरू कर दिया है।

अधिक ?

- समन्वय ? (@harmonyprotocol) 23 जून 2022

हार्मनी टीम ने शुक्रवार की सुबह ट्विटर पोस्ट में पुष्टि की कि बीएनबी चेन और एथेरियम से हार्मनी नेटवर्क को जोड़ने वाले ब्रिज होराइजन का विभिन्न टोकन में लगभग 100 मिलियन डॉलर का शोषण किया गया था। "हार्मनी टीम ने आज सुबह होरिजन ब्रिज पर होने वाली लगभग एक चोरी की पहचान की है। $ 100MM, ”आधिकारिक हार्मनी ट्विटर अकाउंट से एक पोस्ट में कहा गया है, यह पहले से ही राष्ट्रीय अधिकारियों और फोरेंसिक विशेषज्ञों के साथ काम कर रहा है ताकि हमलावर की पहचान की जा सके और संभावित रूप से चुराए गए धन को पुनः प्राप्त किया जा सके।

ऑन-चेन डेटा के अनुसार, शोषण गुरुवार को लगभग 12:02 यूटीसी पर शुरू हुआ और लगभग 15 घंटे तक चला। हार्मनी टीम ने हमले को देखा और आगे दुर्भावनापूर्ण लेनदेन को रोकने के लिए होराइजन ब्रिज को रोक दिया, इससे पहले हमलावर ने 16 से 14,190 ईटीएच तक के विभिन्न आकारों के 30 दुर्भावनापूर्ण लेनदेन को अंजाम दिया। फ्रैक्स, फ्रैक्स शेयर्स, लिपटे एथेरियम, लिपटे बिटकॉइन, एवे, सुशी, टीथर और बिनेंस यूएसडी सहित लगभग 100 मिलियन डॉलर मूल्य के विभिन्न टोकन चोरी करने के बाद, हमलावर ने उन्हें अलग-अलग वॉलेट में भेजा, उन्हें विकेन्द्रीकृत एक्सचेंज यूनिस्वैप पर एथेरियम के लिए स्वैप किया। और फिर चुराए गए धन को वापस स्थानांतरित कर दिया मूल बटुआ.

इस प्रकार के कारनामों के लिए असामान्य, हमलावर ने अभी तक गोपनीयता-प्रोटोकॉल जैसे चोरी किए गए धन को अज्ञात करने का प्रयास नहीं किया है बवंडर नकद. एक अनुवर्ती ट्वीट में, हार्मनी टीम ने कहा कि वह हमलावर को ट्रैक करने और पहचानने के लिए संघीय जांच ब्यूरो और कई साइबर सुरक्षा फर्मों के साथ काम कर रही है। अमेरिकी अधिकारियों की भागीदारी का मतलब है कि इस बात की संभावना है कि विदेशी संपत्ति नियंत्रण कार्यालय हमलावर के बटुए को उसके स्वीकृत पते पर जोड़ देगा काला सूची में डालना, टॉरनेडो कैश के माध्यम से चुराए गए धन को वैध बनाने से इसे प्रभावी ढंग से अक्षम करना।

हालांकि हार्मनी ने अभी तक इस बारे में विशिष्ट विवरण साझा नहीं किया है कि शोषण कैसे हुआ, ब्लॉकचेन सुरक्षा विशेषज्ञों ने अनुमान लगाया है कि हमलावर को होराइजन ब्रिज स्मार्ट कॉन्ट्रैक्ट्स को नियंत्रित करने वाले मल्टी-सिग्नेचर वॉलेट की पांच निजी कुंजियों में से कम से कम दो तक पहुंच प्राप्त हो सकती है। यह हमला वेक्टर पहले से ही था हाइलाइटेड अप्रैल में क्रिप्टो-केंद्रित उद्यम फर्म चैनस्ट्राइड कैपिटल के छद्म नाम के संस्थापक एप देव द्वारा। उन्होंने कहा कि उन्होंने एथेरियम पर हार्मनी ब्रिज की जांच की और पाया कि "यदि चार मल्टीसिग साइनर्स में से दो से समझौता किया जाता है, तो हम एक और 9 फिगर हैक देखने जा रहे हैं," जो कि ठीक वही प्रतीत होता है जो कल हुआ था।

मुदित गुप्ता, मुख्य सूचना सुरक्षा अधिकारी, पॉलीगॉन, टिप्पणी कि यह एक "ब्लॉकचैन हैक" नहीं था, बल्कि एक "पारंपरिक हैक" था, और अनुमान लगाया कि हमलावर ने होराइजन के बहु-हस्ताक्षर वॉलेट की कुंजी को होस्ट करने वाले सर्वर से समझौता किया था। "एक बार सर्वर के अंदर, वे वैध लेनदेन पर हस्ताक्षर करने के लिए सादे पाठ में रखी गई चाबियों तक पहुंच सकते हैं," उन्होंने कहा, यह शोषण एक्सी इन्फिनिटी के $ 551.8 मिलियन के लिए "गंभीर रूप से समान" है रोनिन नेटवर्क शोषण करना मार्च से। अप्रैल में, अमेरिकी ट्रेजरी विभाग की पुष्टि की कि उत्तर कोरिया का राज्य प्रायोजित साइबर अपराध समूह, जिसे लाजर समूह के नाम से जाना जाता है, रोनिन नेटवर्क के शोषण के पीछे था।

हार्मनी ने कहा कि इसका भरोसेमंद बिटकॉइन ब्रिज शोषण से अप्रभावित था और यह जनता को नई जानकारी के साथ अपडेट करना जारी रखेगा जैसा कि यह आता है।

प्रकटीकरण: लेखन के समय, इस लेख के लेखक के पास ETH और कई अन्य क्रिप्टोकरेंसी हैं।