Cầu nối xuyên chuỗi chính của Harmony để chuyển qua lại giữa Ethereum, Binance Chain đã bị đánh cắp một khoảng tiền lên tới 9 chữ số, nhưng theo đội ngũ của Harmony thì BTC không bị ảnh hưởng.
Cầu nối Horizon layer 1 Harmony đã bị khai thác một lượng lớn altcoin với ước tính khoảng 100 triệu đô la và hiện kẻ đánh cắp đang đổi số altcoin đó thành Ether (ETH).
Vụ hack này có thể là một lời giải thích cho những những nghi ngại từ cộng đồng về chất lượng của multisig (liên quan tới vấn đề an ninh của cầu nối).
Bắt đầu từ khoảng 7:08 sáng cho đến 7:26 sáng theo giờ ET, 11 giao dịch cho nhiều loại token khác nhau đã được thực hiện. Chúng bắt đầu gửi token đến nhiều ví khác nhau trên Uniswap và swap sang ETH và gửi ETH trở lại ví ban đầu.
1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.
More 🧵
— Harmony 💙 (@harmonyprotocol) June 23, 2022
Đội ngũ của Harmony đã xác định được thời gian xảy ra vụ hack là vào sáng ngày hôm nay với tổng sổ tiền bị mất là vào khoảng 100 triệu đô la. Chúng tôi đã bắt đầu làm việc với cơ quan quản lý và chuyên gia truy vết tội phạm để lấy lại số tiền bị đánh cắp.
Hiện tại thì các đồng tiền bao gồm Frax (FRAX), WETH, AAVE, SUSHI, FXS, AAG, BUSD, USDT, WBTC, USDC là những đồng altcoin bị đánh cắp trên cầu nối này.
Cơ sở hạ tầng của cầu nối Harmony tạo điều kiện để chuyển đổi qua lại giữa mạng Ethereum, Binance và Bitcoin. Cuối ngày 23/6, operator của cầu nối đã dừng hoạt động và các khoản tài sảng BTC không bị ảnh hưởng bởi cuộc tấn công.
Nhóm Harmony cũng cho biết họ đang làm việc với “các cơ quan chức năng quốc gia và các chuyên gia pháp y” để xác định kẻ hacker là ai.
Nhà phát triển và co-founder của Harmorny Nick White không phản hồi yêu cầu phỏng vấn. Harmony là một blockchain layer 1 sử dụng cơ chế PoS. Token gốc là ONE.
Vụ hack này cũng đã giải thích cho tính hợp lý của ví đa chữ ký của Horizon khi ví này chỉ yêu cầu 2/4 người ký để có thể rút tiền. Founder của quỹ Chainstride Capital, Ape Dev đã từng nói rằng nếu ví đa chữ ký vẫn không thay đổi thì sắp tới chắc chắn chúng ta sẽ lại có thêm một vụ "hack 9 con số khác"
The security of the bridge is currently predicated on a multisig wallet deployed at 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. It has four owners, two of which are required to consent in order to execute an arbitrary transaction (i.e. drain the $330m). pic.twitter.com/sgYmyPrYgf
— Ape Dev (@_apedev) April 1, 2022
Dự đoán của Ape Dev đã trở thành hiện thực khi cầu nối bị lấy mất 100 triệu đô la.
Ngoài ra, anh ấy cũng không phải là người duy nhất lo ngại về vấn đề này.
Vitalik Buterin cũng đã nói về việc này vào tháng 1 năm nay. Ông cho rằng khi các cây cầu bị khai thác, tính thanh khoản của cầu nối sẽ bị đe dọa và một khi số lượng token của cầu nối tăng dần lên thì một cuộc tấn công 51% tiềm tàng trên 1 chuỗi sẽ như một loại virus độc hại lây lan san những chuỗi khác.
Sau khi anh ấy dự đoán thì cầu nối token của Meter, cầu nối Ronin của Axie Infinity và Wormhole Bridge đã thiệt hại với tổng giá trị là hơn 1 tỷ đô la.
The national authorities and forensic specialists should be investigating *you* to figure out what kind of broken security practices allowed this "theft" to happen.
— Chris Blec (@ChrisBlec) June 24, 2022
Multisign là một trong những lỗ hổng an ninh mạng thường thấy trong các cuộc tấn công. Ronin được bảo mật bởi 9 node validator và chỉ cần kiểm soát được 5/9 node thì sẽ xác minh mọi giao dịch. Và tên hacker đã lợi dụng điều đó để bòn rút 600 triệu đô la.
Thị trường hiện tại chưa kịp phản ứng với cụ tấn công nhưng giá của ONE đã giảm 7,4% trong 24 giờ qua, hiện tại đang được giao dịch ở mức $0,024 theo CoinGecko.