Harmony's hacker van $ 100 miljoen nam de controle over zijn portemonnee met meerdere handtekeningen, zeggen analisten

Donderdag verloor Harmony, een proof-of-stake (PoS) blockchain, $100 miljoen door een diefstal op zijn Ethereum-gekoppelde brug. 

De anonieme hacker stal meerdere activa, waaronder ETH, BNB, USDT, USDC en DAI. Deze activa werden eerder overbrugd van Ethereum naar de Harmony-blockchain via de Horizon-brug.

In reactie daarop zei Harmony dat het samenwerkte met wetshandhavingsinstanties en cyberbeveiligingsbedrijven. Toch legde het team niet uit hoe de hack plaatsvond.

Hoewel het Harmony-team nog geen officieel post-mortem moet overleggen, hebben beveiligingsexperts enkele inzichten in de hack geboden. Think Mudit Gupta, de hoofdinformatiebeveiligingsfunctionaris van Polygon, kreeg de dader de controle over de portemonnee met meerdere handtekeningen die werd gebruikt bij het inzetten van Harmony's brug.

A portemonnee met meerdere handtekeningen is een slim contractaccount dat wordt beheerd met verschillende privésleutels, verdeeld over meerdere entiteiten in plaats van over één persoon. Gupta heeft dat gevonden Voor het geld van de portemonnee van de bridge was toestemming nodig van ten minste twee van de in totaal vijf privésleutels, dus tDe dader heeft mogelijk twee privésleutels afgepakt en zo de controle verworven.

“De brug was in wezen een 2 van 5 multi-sig. Als er twee adressen waren die zeiden dat ze geld naar iemand moesten overmaken, gebeurde dat ook”, zegt Gupta zei. “De hacker heeft twee adressen gecompromitteerd en ervoor gezorgd dat ze het geld hebben weggesluisd.”

CertiK, een slim contractbeveiligingsbedrijf, bevestigde dat de hacker zich inderdaad op de portemonnee met meerdere handtekeningen van de brug had gericht. In een vrijdagrapport zei CertiK: “De aanvaller heeft deze [exploit] bereikt door op de een of andere manier de eigenaar van de MultiSigWallet te controleren om de confirmTransaction() rechtstreeks aan te roepen om grote hoeveelheden tokens van de bridge op Harmony over te dragen.” 

Dit is een ontwikkelingsverhaal. Harmony reageerde niet onmiddellijk op een verzoek om commentaar.

© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.