Экосистема DeFi перешла от экосистемы, ориентированной на Ethereum, к парадигме с несколькими цепочками. Чтобы приспособиться к этой новой парадигме, появилось множество мостовых решений для перевода средств между блокчейнами. Однако они могут стать главной мишенью для хакеров. Блокчейн Harmony узнал это на собственном опыте, взломав свой мост Horizon.
100 миллионов украдены с моста “Горизонт” компании Harmony
Harmony – это блокчейн смарт-контрактов, совместимый с EVM. Для обеспечения совместимости с остальными системами DeFi, Harmony развернула собственное мостовое решение под названием Horizon.
На практике Harmony имеет два моста. У нас есть мост Horizon, который позволяет связать его блокчейн с блокчейнами Ethereum (ETH) и BNB Smart Chain (BNB). А также еще один мост для подключения Harmony к сети Bitcoin (BTC).
Подробнее о : Более 600 миллионов долларов похищено из сети Ronin (Axie Infinity).
Сегодня рано утром команда Harmony оповестила сообщество о том, что их мост Horizon стал объектом взлома. В общей сложности злоумышленником было похищено 592 WBTC, что составляет более 100 миллионов долларов по текущей цене.
К счастью, эта атака была ограничена мостом Horizon и, очевидно, не затронула мост Bitcoin.
“Обратите внимание, что это не влияет на ненадежный мост BTC; его средства и активы, хранящиеся в децентрализованных хранилищах, пока в безопасности”.
Команды быстро приостановили работу моста “Горизонт”, чтобы ограничить ущерб. Они также заявили, что начали “работать с национальными властями и судебно-медицинскими экспертами”, чтобы установить личность исполнителя нападения.
Как работают эти мосты?
Прежде чем перейти к деталям атаки, давайте рассмотрим, как работают эти знаменитые мосты.
На практике они работают благодаря ряду смарт-контрактов, развернутых на различных блокчейнах, которые необходимо связать.
Итак, вот шаги, которые выполняются, когда пользователь хочет отправить средства из Ethereum в Harmony:
Пользователь будет вносить средства на смарт-контракт bridge, развернутый на Ethereum.
Затем комитет валидаторов проверит существование депозита в Ethereum и заблокирует средства на контракте.
Как только средства будут заблокированы на контракте, будет выпущено такое же количество токенов. Эти выпущенные токены являются так называемыми токенизированными токенами, которые позволяют представлять токен, не являющийся родным для блокчейна Harmony.
В результате в смарт-контрактах, развернутых по обе стороны моста, хранится большое количество токенов. Это делает такие контракты главной мишенью для хакеров всех мастей.
Как был осуществлен взлом моста Horizon Bridge
На данный момент команды Harmony поделились малой информацией о взломе Horizon. Однако, поскольку блокчейн является публичной бухгалтерской книгой, многие кибер-следователи изучают этот вопрос.
Например, команда @RugDocIO провела расследование и опубликовала свои выводы в теме в Twitter.
После расследования они подозревают, что закрытый ключ был скомпрометирован. Действительно, смарт-контракт Horizon Bridge управляется кошельком с мультиподписью или мультисигмой из 5 частей.
На практике кошелек с несколькими подписями контролируется определенным количеством адресов, принадлежащих разным людям.
Однако для подписания транзакции в контракте Horizon Bridge требовалось одобрение только 2 из 5 адресов в мультисиге.
Итак, при ближайшем рассмотрении транзакции, которая позволила взломать Horizon, команда @RugDocIO заметила, что она была подписана 2 из 5 кошельков в мультисиге.
В этом случае возможны две теории:
Это была внутренняя работа, в ходе которой двое из держателей мультисиг решили украсть средства (маловероятная теория).
Два адреса, использованные для подписания хакерской транзакции, были взломаны, и их первоначальные владельцы потеряли над ними контроль (наиболее вероятная версия).
Впоследствии команды Harmony изменили правила смарт-контракта Horizon таким образом, чтобы для подписания транзакции требовалось не менее 4 адресов из мультисигмы.
Команды Harmony, вероятно, попытаются связаться со злоумышленником, чтобы договориться о возврате средств в обмен на вознаграждение. Пока неясно, будет ли злоумышленник склонен вернуть средства или предпочтет оставить их себе, рискуя быть найденным правоохранительными органами.
