以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

SAC:被盜1億美元的Harmony 驗證者節點安全如何保障?

Author:

Time:1900/1/1 0:00:00

2022年6月24日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊,損失金額約為1億美元。目前Harmony官方已通知交易所并暫停了Horizon跨鏈橋。成都鏈安安全團隊對此事件進行了分析,現與大家分享。

HarmonyBridge是一個跨鏈橋項目,由五個驗證者節點進行操作驗證,本次攻擊主要原因是由于兩個驗證者節點的私鑰疑似泄露,導致合約的confirmTransaction函數被成功調用。

Coinbase將上線Multichain(MULTI):5月4日消息,據官方消息,Coinbase 宣布在以太坊網絡(ERC-20 Token)上增加對 Multichain(MULTI)的支持。若滿足流動性條件,交易將于太平洋時間 2023 年 5 月 4 日上午 9 點或之后開始。[2023/5/4 14:40:41]

#攻擊過程

攻擊者地址:

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

隱私網絡Iron Fish空投kyc已開放,隨后按照順序依次向三個階段積分用戶開放:3月6日消息,據官方推特,隱私網絡Iron Fish宣布空投kyc已開放,目前僅限參與Pull Request的用戶。此外,在接下來的幾天里,將按順序向第1階段、第2階段和第3階段的積分用戶開放。[2023/3/6 12:45:11]

私鑰疑似泄露地址:

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

法院文件顯示Celsius資產負債表缺口約為12億美元:金色財經消息,根據Celsius咨詢合作伙伴Kirkland&Ellis提交的一份新的法庭文件,加密借貸平臺Celsius Network的資產負債表存在11.9億美元的缺口。該文件顯示,Celsius持有43億美元的資產和55億美元的負債。在其資產清單中,Celsius聲稱其CEL代幣中約有6億美元。然而該文件中指出,截至7月12日,CEL的總市值約為1.703億美元。[2022/7/15 2:14:35]

被攻擊合約:

0x715cdda5e9ad30a0ced14940f9997ee611496de6

市場消息:加密貨幣交易所Rain的資本翻倍至1億里拉(約合577萬美元):6月20日消息,加密貨幣交易所Rain的資本翻倍至1億里拉(約合577萬美元)。(金十)[2022/6/20 4:40:24]

示例哈希:

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

被攻擊的transactionId:21106-21118(eth),120515-120518(bsc)

私鑰泄露地址0x812d......8f25地址調用了0x715c......6de6合約的confirmTransaction函數進行操作驗證,此處我們以被攻擊的transactionId:21107進行分析。

可以發現在本次交易中,isConfirmed的驗證返回為true。

但是我們在合約中進行驗證者節點查詢會發現,雖然owner有五個,但是僅有兩名驗證者進行了驗證。

攻擊者就利用這兩個驗證者節點成功使用external_call獲取了相應的代幣,并反復利用此攻擊來獲利。

后續項目方通過transactionId為21126的交易將驗證者節點confirm通過的數量從2改為了4。

#資金追蹤

本次攻擊事件以太坊上損失了85,867個ETH,990個AAVE和78,500,000個AAG,BSC上損失了5,000個BNB和640,000個BUSD,共計約100,428,116美元,目前被盜資金還保存在攻擊者地址。成都鏈安將用鏈必追對被盜資金進行持續追蹤。

#事件總結

這次攻擊事件中,攻擊者利用了驗證者節點驗證通過需求數量較少的情況,利用兩個驗證者節點從而盜取了上億美金的資產。建議項目方在設計驗證者節點驗證數量需求盡量選擇較多節點,并且做好驗證者節點的節點安全。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

來源:金色財經

Tags:CELACTIONSACTRAcell幣為什么不上交易所action幣圈SACT幣Trabzonspor Fan Token

幣安app官方下載最新版
以太坊:BSN:以“區塊鏈+”賦能產業經濟

????6月26日,由中共杭州市拱墅區委員會、杭州市拱墅區人民政府、區塊鏈服務網絡、北京大學信息技術高等研究院聯合主辦的2022中國數字藝術峰會圓滿落幕.

1900/1/1 0:00:00
VENT:哈佛法學院:思考 DAO 面臨的問題及治理優化

DAO看起來很新穎,但從商業歷史的角度來看,它們只是動態市場活動的最新例子。撰文:KevinSchwartz,DavidAdlerstein 編譯:Dewei 雖然最近加密資產市場將注意力集中在.

1900/1/1 0:00:00
NEX:預測:2022年底Nexo或將面臨流動性危機

6月13日,加密借貸平臺Nexo發布博客文章稱,目前正在與銀行業巨頭花旗合作,以整合其他受到近期市場低迷打擊的加密借貸平臺.

1900/1/1 0:00:00
加密貨幣:光藝崩盤?其他小平臺的破發還遠嗎?

6月27日晚10點,光藝數藏平臺出現異常,其二級市場上的藏品售價破發,導致大量藏家蒙受損失,與平臺合作的機構亦開始拋售.

1900/1/1 0:00:00
BIT:富士幣圈-06.25 BTC晚盤分析:關注20800多空分界 建議回踩多為主

????2小時K線圖趨勢分析,目前BTC處于上行趨勢通道20800-23000區間內運行,白盤大家首先關注20800附近趨勢支撐位,建議回踩20500-20800區間不破做多.

1900/1/1 0:00:00
WEB:晚間必讀5篇 | 從維基百科身上看Web3“光鮮亮麗”的一生

1.金色觀察|清算的藝術:SBF大手筆援助背后自Luna崩盤引發系列清算之后,SBF數周內兩次大手筆出手援助深陷其中的加密企業,以阻止危機蔓延,提振行業信心.

1900/1/1 0:00:00
ads