Camfanteisio ar Bont Trawsgadwyn Harmony am $100M

Mae tîm Harmony wedi cadarnhau bod pont Horizon wedi cael ei defnyddio am tua $100 miliwn mewn gwahanol docynnau.

Harmony Bridge Hit am $100M

Mae Harmony, blockchain Proof-of-Stake sy'n gydnaws ag EVM, wedi cael budd o'i bont trawsgadwyn Horizon mewn toriad diogelwch mawr.

1/ Mae'r tîm Harmony wedi nodi lladrad a ddigwyddodd y bore yma ar bont Horizon, sef tua. $100MM. Rydym wedi dechrau gweithio gydag awdurdodau cenedlaethol ac arbenigwyr fforensig i nodi'r troseddwr ac adalw'r arian a ddygwyd.

Mwy?

— Cytgord ? (@harmonyprotocol) Mehefin 23, 2022

Cadarnhaodd tîm Harmony mewn post Twitter bore Gwener fod Horizon, y bont sy'n cysylltu'r rhwydwaith Harmony â BNB Chain ac Ethereum, wedi cael ei hecsbloetio am tua $ 100 miliwn mewn gwahanol docynnau. “Mae tîm Harmony wedi nodi lladrad a ddigwyddodd y bore yma ar bont Horizon, sef tua. $100MM, ”meddai post o gyfrif Twitter swyddogol Harmony, gan ychwanegu ei fod eisoes yn gweithio gydag awdurdodau cenedlaethol ac arbenigwyr fforensig i adnabod yr ymosodwr ac o bosibl adfer yr arian sydd wedi’i ddwyn.

Yn ôl data ar gadwyn, dechreuodd y camfanteisio tua 12:02 UTC ddydd Iau a pharhaodd am tua 15 awr. Gweithredodd yr ymosodwr 16 o drafodion maleisus o wahanol feintiau, yn amrywio o 14,190 i 30 ETH cyn i'r tîm Harmony sylwi ar yr ymosodiad ac atal pont Horizon i atal trafodion maleisus pellach. Ar ôl dwyn gwerth tua $100 miliwn o wahanol docynnau, gan gynnwys Frax, Frax Shares, lapio Ethereum, lapio Bitcoin, Aave, Sushi, Tether, a Binance USD, anfonodd yr ymosodwr nhw i wahanol waledi, eu cyfnewid am Ethereum ar y gyfnewidfa ddatganoledig Uniswap, ac yna trosglwyddo'r arian a ddwynwyd yn ôl i'r waled tarddu.

Yn anghyffredin ar gyfer y mathau hyn o gampau, nid yw'r ymosodwr eto wedi ceisio gwneud yr arian a ddwynwyd yn ddienw trwy brotocol preifatrwydd fel Arian Parod Tornado. Mewn Trydar dilynol, dywedodd tîm Harmony ei fod yn gweithio gyda'r Swyddfa Ymchwilio Ffederal a chwmnïau seiberddiogelwch lluosog i olrhain ac adnabod yr ymosodwr. Mae cyfranogiad awdurdodau'r UD yn golygu bod posibilrwydd y bydd y Swyddfa Rheoli Asedau Tramor yn ychwanegu waled yr ymosodwr i'w gyfeiriadau a ganiatawyd rhestr ddu, i bob pwrpas yn ei analluogi rhag gwyngalchu'r arian a ddwynwyd trwy Tornado Cash.

Er nad yw Harmony wedi rhannu manylion penodol eto am sut y digwyddodd y camfanteisio, mae arbenigwyr diogelwch blockchain wedi dyfalu ei bod yn debygol bod yr ymosodwr wedi cael mynediad at o leiaf ddau o bum allwedd breifat y waled aml-lofnod sy'n rheoli contractau smart pont Horizon. Roedd y fector ymosodiad hwn eisoes tynnu sylw at ym mis Ebrill gan Ape Dev, sylfaenydd ffug-enwog y cwmni menter sy'n canolbwyntio ar cripto Chainstride Capital. Dywedon nhw eu bod wedi ymchwilio i bont Harmony ar Ethereum a chanfod “os yw dau o'r pedwar arwyddwr multisig yn cael eu peryglu, rydyn ni'n mynd i weld darnia 9 ffigwr arall,” sy'n ymddangos yn union yr hyn a ddigwyddodd ddoe.

Mudit Gupta, prif swyddog diogelwch gwybodaeth Polygon, Dywedodd nad oedd hwn yn “hac blockchain” ond yn “hac traddodiadol,” a dyfalodd fod yr ymosodwr yn debygol o beryglu'r gweinyddwyr oedd yn cynnal allweddi waled aml-lofnod Horizon. “Unwaith y tu mewn i’r gweinydd, gallent gyrchu’r allweddi a oedd yn cael eu cadw mewn testun plaen ar gyfer llofnodi trafodion cyfreithlon,” meddai, gan ychwanegu bod y camfanteisio yn “iasol debyg” i $551.8 miliwn gan Axie Infinity. Rhwydwaith Ronin manteisio ar o fis Mawrth. Ym mis Ebrill, yr Adran Trysorlys yr Unol Daleithiau gadarnhau bod grŵp seiberdroseddu Gogledd Corea o'r enw Lazarus Group y tu ôl i ecsbloetio Rhwydwaith Ronin.

Dywedodd Harmony nad oedd y camfanteisio yn effeithio ar ei bont Bitcoin ymddiriedus ac y byddai'n parhau i ddiweddaru'r cyhoedd gyda gwybodaeth newydd wrth iddi ddod i mewn.

Datgeliad: Ar adeg ysgrifennu, roedd awdur y darn hwn yn berchen ar ETH a sawl cryptocurrencies eraill.