宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > PEPE > 正文

被盗1亿美元的Harmony 验证者节点安全如何保障?

作者:

时间:1900/1/1 0:00:00

2022年6月24日,成都链安链必应-区块链安全态势感知平台舆情监测显示,由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。目前Harmony官方已通知交易所并暂停了Horizon跨链桥。成都链安安全团队对此事件进行了分析,现与大家分享。

HarmonyBridge是一个跨链桥项目,由五个验证者节点进行操作验证,本次攻击主要原因是由于两个验证者节点的私钥疑似泄露,导致合约的confirmTransaction函数被成功调用。

Curve原生稳定币crvUSD已部署UI并正式上线:5月18日消息,Curve原生稳定币crvUSD已部署UI并正式上线,目前支持Frax Finance旗下以太坊流动性质押产品sfrxETH进行抵押铸造,后续将进一步支持stETH。[2023/5/18 15:10:11]

#攻击过程

攻击者地址:

Bitfarms将与BlockFi商议贷款协议以降低资金压力:金色财经报道,比特币矿企Bitfarms表示,旗下子公司Backbone Mining Solutions,Inc.(BMS)曾于2022年2月18日与BlockFi签署了3200万美元的设备融资协议,并以BMS的矿机和产出的比特币作为担保,目前担保资产的市场价值约为500万美元,未偿还的欠款和利息仍有2000万美元。

Bitfarms称,正在计划与BlockFi就贷款协议进行商议,包括不进行分期付款以及承认违约等。Bitfarms表示,BlockFi对BMS及其抵押品行使其权利可能会导致公司承担额外费用,甚至可能导致华盛顿州设施停止运营。[2023/1/13 11:11:01]

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

Beosin:Skyward Finance项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Near链上的Skyward Finance项目遭受漏洞攻击,Beosin分析发现由于skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39传入相同的token_account_id,并多次领取了WNear奖励。本次攻击导致项目损失了约108万个Near,约320万美元。Beosin Trace追踪发现被盗金额已被攻击者转走。[2022/11/3 12:12:36]

私钥疑似泄露地址:

新加坡金管局和BIS等探索使用DeFi批发型CBDC跨境交易和结算:金色财经报道,瑞士国家银行、法兰西银行、新加坡金融管理局和国际清算银行创新中心探索使用DeFi(去中心化金融)协议的批发型央行数字货币的跨境交易和结算。[2022/11/2 12:09:36]

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

被攻击合约:

0x715cdda5e9ad30a0ced14940f9997ee611496de6

示例哈希:

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

WalletConnect宣布正在为Web3构建消息传递协议:金色财经消息,加密钱包WalletConnect宣布正在为Web3构建消息传递协议,第一步是连接web3生态系统中所有不同的钱包和应用程序,下一步是使这些钱包的用户在不同的链上使用不同的钱包相互聊天。[2022/6/15 4:26:46]

被攻击的transactionId:21106-21118(eth),120515-120518(bsc)

私钥泄露地址0x812d......8f25地址调用了0x715c......6de6合约的confirmTransaction函数进行操作验证,此处我们以被攻击的transactionId:21107进行分析。

可以发现在本次交易中,isConfirmed的验证返回为true。

但是我们在合约中进行验证者节点查询会发现,虽然owner有五个,但是仅有两名验证者进行了验证。

攻击者就利用这两个验证者节点成功使用external_call获取了相应的代币,并反复利用此攻击来获利。

后续项目方通过transactionId为21126的交易将验证者节点confirm通过的数量从2改为了4。

#资金追踪

本次攻击事件以太坊上损失了85,867个ETH,990个AAVE和78,500,000个AAG,BSC上损失了5,000个BNB和640,000个BUSD,共计约100,428,116美元,目前被盗资金还保存在攻击者地址。成都链安将用链必追对被盗资金进行持续追踪。

#事件总结

这次攻击事件中,攻击者利用了验证者节点验证通过需求数量较少的情况,利用两个验证者节点从而盗取了上亿美金的资产。建议项目方在设计验证者节点验证数量需求尽量选择较多节点,并且做好验证者节点的节点安全。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

来源:金色财经

标签:ARMIONTRACONBiscuit Farm FinanceMIONSafe Trade CoinSunContract

PEPE热门资讯
6.28行情面临二次回踩 后市延续空头?

6.28BTC行情分析 大饼昨日呈冲高回落走势,高位触及21500附近后迅速回落,低位跌至20500一线,目前币价在20700附近震荡,四小时级别一根阴k吞没前期连阳涨幅,短期ma60形成支撑,多次试探未有效破位.

1900/1/1 0:00:00
比特币看跌信号:比特币基地收到大量资金流入

链上数据显示,加密交易所比特币基地专业版今天收到了大量比特币流入,这一迹象可能被证明是对比特币价格的利空。 CZ:从不理解模因代币:金色财经报道,币安负责人CZ在 会议上表示,他“从不理解模因代币”.

1900/1/1 0:00:00
dYdX「逃离」以太坊

6月23日,dYdX宣布将转移至Cosmos生态,将基于CosmosSDK开发定制应用链,并在即将到来的dYdXV4版本中实现迁移。这可能是第一次出现,一个业内知名的以太坊原生DeFi应用选择逃离.

1900/1/1 0:00:00
纵览Sumati GameFi生态 神奇世界中的元素

Sumati游戏元素设计前瞻太空探索类游戏始终是游戏赛道中,最受欢迎的板块之一,通常这类游戏制作精良、玩法丰富。而在GameFi爆火后,太空类链游也逐渐成为了GameFi赛道中,想象力最为丰富的板块之一.

1900/1/1 0:00:00
富士币圈-06.25 ETH晚盘分析:关注1150附近支撑 短期看空趋势

????1小时K线图趋势分析,目前ETH依旧处于上行趋势通道1080-1320内运行,白盘首先关注1150附近趋势支撑位,建议回踩1130-1150区间不破可以做多一次,破位等到1080附近再考虑做多;上方则关注1320附近压制位.

1900/1/1 0:00:00
一文回顾加密雷曼时刻始末 其实是把双刃剑?

BlockFi、Genesis、Nexo、Celsius)借取大量资金,其中Celsius是3AC最大的债权人。如果3AC真的崩塌倒下,借贷给3AC的机构就要承受巨大的风险.

1900/1/1 0:00:00