Основная платформа Harmony, Horizon Bridge - это кроссчейн-мост, который позволяет переводить криптовалюты между разными блокчейнами. Злоумышленники воспользовались им для вывода 85837,3 ETH, что примерно равно $99,3 млн, на свой кошелек.
По данным компании CertiK, проанализировавшей инцидент, злоумышленники смогли получить доступ к мультисигнатурным кошелькам Horizon и вывести средства.
«23 июня 2022 г.... мост между блокчейном Harmony и Ethereum подвергся серийной эксплуатации, - говорится в публикации CertiK. - Нам удалось идентифицировать 12 несанкционированных транзакций и три кошелька, принадлежавших злоумышленнику. В рамках этих транзакций злоумышленник перехватил различные токены из моста, в том числе ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH и FRAX. Транзакции были неравнозначны по суммам, но их диапазон составлял от $49,2 тыс. до $41,2 млн. Злоумышленнику удалось этого достичь, каким-то образом добившись от владельца кошелька MultiSigWallet вызова прямой транзакции confirmTransaction… для прямого вывода большого количества токенов из моста в Harmony. Все эти средства злоумышленник сосредоточил на одном основном адресе».
В Harmony отметили, что злоумышленникам удалось скомпрометировать приватные ключи. При этом в компании продолжают утверждать, что ключи хранились надежно, в дважды зашифрованном виде, и доступа к ним в plaintext с одной конкретной машины получить было невозможно.
Однако «Злоумышленник сумел получить доступ и дешифровать ряд ключей, в том числе тех, которые использовались до подписи неавторизованной транзакции, и захватить активы в форме BUSB, USDC, ETH и WBTC, - говорится в заявлении Harmony. - Все эти активы затем были сконвертированы в ETH и на данный момент остаются в аккаунте хакера в блокчейне Ethereum. К настоящему времени хакер не предпринимал никаких мер, чтобы анонимизировать эти активы». В компании также заявили, что речи о компрометации системы смарт-контрактов или уязвимостях в самой платформе Horizon и что средства были украдены «на стороне Ethereum».
$1 млн за возвращение средств и технические подробности
Компания назначила награду в $1 млн за возвращение украденных активов и за техническую информацию об атаке, пообещав также не выдвигать уголовных обвинений в случае возвращения украденного.
«То, что взломщик не пытался анонимизировать выведенные средства, может указывать на демонстративную природу этой атаки, - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - И, похоже, в Harmony тоже подозревают, что кто-то в произвел несанкционированное “пентестирование”, чтобы продемонстрировать возможность обойти существующие средства безопасности блокчейнов. Отсюда и обещание крупного вознаграждения. Но точно пока ничего сказать нельзя».