Harmonie, en oppenen a séiere Layer-1 Blockchain deen en zwee-Wee ubitt Ethereum Bréck, leiden en onglécklechen Hack de 24. Juni. Horizon, seng Kräiz-Kette Bréck op Ethereum, huet dësen Exploit am Wäert vun bal $100 Milliounen an ETH opgeholl. Och wann d'Plattform déi betraff Bréck gestoppt huet, bleiwen e puer Froen onbeäntwert.
Fir e bessere Grëff op d'Situatioun ze kréien, hei ass en déif Tauchen a wat dësen Hack verursaacht huet.
De Besëtzer auszesetzen, ass et?
Sécherheetsexperten vun der CertiK Team, an engem Blog gepost de 25. Juni, Gedeelt eng déif Analyse déi Schlësselevenementer ervirhiewt, déi zum Heist gefouert hunn. Wu Blockchain, eng berühmt Noriichtenagence, huet spéider dës Entwécklung op sengem Twitter Feed nei gedeelt.
Certik: Den Ugräifer huet dëst erreecht andeems hien de Besëtzer vum MultiSigWallet iergendwéi kontrolléiert huet fir d'ConfirmTransaction () direkt ze ruffen fir grouss Quantitéiten un Tokens vun der Bréck op Harmony ze transferéieren. https://t.co/M1VNahGKcQ
- Wu Blockchain (@WuBlockchain) Juni 24, 2022
Virleefeg Analyse präsentéiert datt déi angeblech Adress den 11 Transaktiounen vun der Bréck fir verschidde Stongen. Ausserdeem huet den Individuum Tokens un eng geschéckt ënnerschiddlech ass Portemonnaie ze tauschen fir ETH op der uniswap dezentraliséiert Austausch (DEX), dann geschéckt ETH zréck op d'Original Portemonnaie.
No e puer weider Enquête, der Expert Analyse identifizéiert 12 Attack Transaktiounen an dräi Attack Adressen. Iwwer dës Transaktiounen huet den Ugräifer verschidde Tokens op der Bréck vernetzt, dorënner ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH, a FRAX.
"Den Ugräifer huet dëst erreecht andeems hien de Besëtzer vum MultiSigWallet kontrolléiert huet fir d'ConfirmTransaction () direkt ze ruffen fir grouss Quantitéiten un Tokens vun der Bréck op Harmony ze transferéieren. Dëst huet zu engem Gesamtverloscht ongeféier $ 97M Wäert vum Verméigen op der Harmony Kette gefouert, déi den Ugräifer an eng Haaptadress konsolidéiert huet.
Dëst Evenement ass an enger Sequenz geschitt wéi hei ënnen gewisen.
D'Kette vun Evenementer
De Besëtzer vum MultiSigWallet Kontrakt (0xf845a7ee8477ad1fb446651e548901a2635a915) huet d'SubmitTransaction() Funktioun genannt fir eng Transaktioun ofzeginn. Et huet déi folgend Notzlaascht integréiert fir d'Transaktioun ID 21106 an der Transaktioun ze generéieren.
Source: Certik
Nächst, an der Exploitatioun Transaktioun, genannt de Besëtzer Funktioun confirmTransaction () aus der MultiSigWallet mat der Input Transaktioun Id 21106. D'Funktioun executeTransaction () opgeruff en externen Uruff mat Input Daten. Dëse Schrëtt huet d'UnlockEth () Funktioun am Ethmanager Kontrakt ausgeléist.
Source: Certik
Wéinst der Tatsaach, datt den Ugräifer d'Autoritéit vum Besëtzer kontrolléiert huet, huet d'Entschloss de Wee zum genannte Cross-Bréck Exploit gefouert. De Blog huet och bäigefüügt,
"den Ugräifer huet d'Transaktioun mat ID 21106 ausgefouert, déi 13,100 ETH op d'Adress vum Ugräifer transferéiert huet."
Mee dat ass et net. De angeblechen Hacker huet de fréiere Prozess weider mat verschiddenen Transaktiouns-IDen op anere ERC20Manager Kontrakter weidergefouert fir eng rieseg Quantitéit vun ERC20 Tokens a Stablecoins ze transferéieren.
Insgesamt hunn esou Tëschefäll de ganze skepteschen Szenario ronderëm d'Benotzung verschäerft Kräiz-Ketten Brécke. Virdrun dëst Joer ware mir Zeien souwuel de Ronin Bréck exploitéieren an Wormhole feat.
Quell: https://ambcrypto.com/latest-in-harmonys-horizon-bridge-hack-and-its-technical-post-mortem/