Harmony’s Horizon Bridge bị hack 100 triệu đô la bởi lỗ hồng Multisig Wallet

Horizon Bridge nối với Layer 1 của Harmony đã bị hack lên tới 100 triệu đô la trong các AltCoin để đổi lấy Ether (ETH).

Vụ hack trên có thể làm rõ hơn cho những lo ngại của cộng đồng trước đây về tính bảo mật của hai trong số bốn Multisig (Đa chữ ký) được cho là bảo vệ Bridge.

Bắt đầu từ khoảng 7:08 sáng cho đến 7:26 sáng theo giờ ET, 11 giao dịch đã được thực hiện từ cây cầu cho các Token khác nhau. Kể từ đó, họ đã bắt đầu gửi Token đến một ví khác để hoán đổi ETH trên sàn giao dịch phi tập trung Uniswap (DEX), sau đó gửi ETH trở lại ví ban đầu. 

1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.

More 🧵

— Harmony 💙 (@harmonyprotocol) June 23, 2022

Cho đến nay, Frax (FRAX), Wrapped Ether (WETH), Aave (AAVE), Sushi (SUSHI), Frax Share (FSX), AAG (AAG), Binance USD (BUSD), Dai (DAI), Tether (USDT), Wrapped BTC (WBTC) và USD Coin (USDC) đã bị cướp khỏi Bridge thông qua vụ hack này.

Horizon Bridge tạo điều kiện cho việc chuyển Token giữa Harmony và mạng Ethereum, Binance Chain và Bitcoin. Harmony, nhà điều hành của Bridge đã thông báo vào cuối ngày 23 tháng 6 rằng cây cầu đã bị dừng hoạt động. Họ cũng cho biết BTC Bridge và tài sản của nó không bị ảnh hưởng bởi cuộc tấn công này.

Nhóm Harmony cũng cho biết họ đang làm việc với “các cơ quan chức năng quốc gia và các bên liên quan” để xác định ai là người chịu trách nhiệm cho vụ hack này.

Các nhà phát triển và người đồng sáng lập của Harmony Nick White đã không trả lời các bình luận liên quan. Harmony là Layer 1 và Blockchain hoạt động theo Proof-of-stake. Token gốc của nó là ONE.

Các mối quan tâm trước đây được bày tỏ về tính bảo mật của Multisig Wallet (Ví đa chữ ký) của Horizon trên Ethereum. Ví này chỉ yêu cầu hai trong số bốn người ký để rút tiền. Người sáng lập của quỹ mạo hiểm tập trung vào tiền điện tử Chainstride Capital, Ape Dev đã lưu ý trên Twitter ngày 2 tháng 4 rằng số lượng yêu cầu 2 người ký thấp như vậy sẽ khiến Bridge sẽ còn “một vụ hack 9 con số khác”.

Since the current narative du-jour is bridges & bridge hacks, I wanted to do some digging on the harmony bridge on Ethereum which secures ~$330m worth of tokens.

— Ape Dev (@_apedev) April 1, 2022

Dự đoán của Ape Dev dường như đã thành hiện thực khi Bridge đã giảm tới 100 triệu đô la tài sản.

Anh ấy không phải nhà phát triển duy nhất trong lĩnh vực tiền điện tử phải e ngại về tính bảo mật của Token Bridge này.

Vitalik Buterin đã thảo luận các vấn đề về các Token Bridge trong một bài đăng trên Reddit vào tháng Giêng này. Ông cho rằng khi các cây cầu bị Hacker kiểm soát, nó sẽ đe dọa đến tính thanh khoản trên mỗi chuỗi bị ảnh hưởng. Ông còn nói thêm rằng khi số lượng Token Bridge tăng lên, mối đe dọa về một cuộc tấn công 51% vào một chuỗi có thể gây ra nguy hiểm lớn hơn cho những chuỗi khác.

The national authorities and forensic specialists should be investigating *you* to figure out what kind of broken security practices allowed this "theft" to happen.

— Chris Blec (@ChrisBlec) June 24, 2022

Multisig là một vấn đề về bảo mật chưa được giải quyết triệt để và lỗ hổng cho các cuộc tấn công. Ronnin Bridge được bảo mật bởi 9 trình xác thực, chỉ 5 trong số đó được yêu cầu để xác minh một giao dịch. Kẻ tấn công đã kiểm soát được 5 trình xác thực được yêu cầu và hack hơn 600 triệu đô la tài sản.

Tuy nhiên, thị trường dường như chưa phản ứng với cuộc tấn công vì giá của Token được đề cập trên không có động thái đáng kể. Giảm nhiều nhất là ONE với mức giảm là 7,4% trong 24 giờ qua, phần lớn đến trong 5 giờ qua.