買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > BNB > Info

以太坊:被盜1億美元的Harmony 驗證者節點安全如何保障?_RAN

Author:

Time:1900/1/1 0:00:00

2022年6月24日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊,損失金額約為1億美元。目前Harmony官方已通知交易所并暫停了Horizon跨鏈橋。成都鏈安安全團隊對此事件進行了分析,現與大家分享。

HarmonyBridge是一個跨鏈橋項目,由五個驗證者節點進行操作驗證,本次攻擊主要原因是由于兩個驗證者節點的私鑰疑似泄露,導致合約的confirmTransaction函數被成功調用。

以太坊創世區塊生成已滿8周年整:金色財經報道,據CoinGecko數據顯示,2015年7月30日,以太坊正式上線。區塊高度為0的創世區塊于UTC時間03:26:13誕生,區塊獎勵為 5 ETH。目前以太坊主網已運行8周年整。

在過去8年內,以太坊網絡累計處理20.4億筆交易,累計消耗約165億美元手續費。[2023/7/30 16:07:29]

#攻擊過程

攻擊者地址:

以太坊自合并以來流通量已減少25.8萬枚:金色財經報道,據ultrasound.money數據顯示,以太坊自合并以來流通量已減少258234.78枚,當前的年化通縮率為-0.31%。[2023/5/24 15:22:15]

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

私鑰疑似泄露地址:

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

21.co研究總監:Alameda在Aave上借入做空USDT并在Curve上賣出USDT換取USDC:11月10日消息,21Shares母公司21.co研究總監elindinga表示,Alameda通過在Aave上借入做空USDT(因此USDT的APY較高),并在Curve上賣出USDT換取USDC。[2022/11/10 12:44:59]

被攻擊合約:

0x715cdda5e9ad30a0ced14940f9997ee611496de6

示例哈希:

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

Nym聘請法國巴黎銀行前高管Andrei Serjantov擔任首席財務官:7月5日消息,隱私基礎設施項目Nym宣布已聘請法國巴黎銀行(BNP Paribas)前高管Andrei Serjantov擔任首席財務官(CFO)。Andrei有著16年的金融從業經驗,作為Nym的新任CFO,Andrei將與團隊密切合作繼續推進Nym的隱私基礎設施開發,幫助更多應用程序實現隱私功能。(Finextra)[2022/7/5 1:51:40]

被攻擊的transactionId:21106-21118(eth),120515-120518(bsc)

私鑰泄露地址0x812d......8f25地址調用了0x715c......6de6合約的confirmTransaction函數進行操作驗證,此處我們以被攻擊的transactionId:21107進行分析。

可以發現在本次交易中,isConfirmed的驗證返回為true。

但是我們在合約中進行驗證者節點查詢會發現,雖然owner有五個,但是僅有兩名驗證者進行了驗證。

攻擊者就利用這兩個驗證者節點成功使用external_call獲取了相應的代幣,并反復利用此攻擊來獲利。

后續項目方通過transactionId為21126的交易將驗證者節點confirm通過的數量從2改為了4。

#資金追蹤

本次攻擊事件以太坊上損失了85,867個ETH,990個AAVE和78,500,000個AAG,BSC上損失了5,000個BNB和640,000個BUSD,共計約100,428,116美元,目前被盜資金還保存在攻擊者地址。成都鏈安將用鏈必追對被盜資金進行持續追蹤。

#事件總結

這次攻擊事件中,攻擊者利用了驗證者節點驗證通過需求數量較少的情況,利用兩個驗證者節點從而盜取了上億美金的資產。建議項目方在設計驗證者節點驗證數量需求盡量選擇較多節點,并且做好驗證者節點的節點安全。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

來源:金色財經

Tags:以太坊USDTRARAN以太坊交易所app官網下USDN幣Smart Trade NetworksSunder Goverance Token

BNB
DCA:加密貨幣10 條建議 學會順勢而為 多元化是關鍵_區塊鏈

1.永遠不要搞報復交易 在遭受重大投資打擊之后,作為投資者總是有追逐彌補損失的誘惑。賠錢很痛苦。但在大多數情況下,尋求報復會適得其反,而且往往會導致進一步的損失.

1900/1/1 0:00:00
比特幣:熊市下跌為了更好的上漲 分享幣安CZ趙長鵬認為市場終將復蘇的5個原因_ROLL

價值400億美元的“算法穩定幣”項目Terra的崩潰,以及它導致最大的加密對沖基金三箭資本(ThreeArrowCapital)面臨資不抵債的問題,也摧毀了整個加密領域的需求.

1900/1/1 0:00:00
COS:多鏈生態:我們的當前階段與未來格局_OSMO

作者:Jiawei,IOSGVentures 1、引子 ComposableFinance的創始人提出了跨鏈互操作性的五個發展階段:0-20%:實現最基本的跨鏈通信和鏈間代幣移動;20-50%:.

1900/1/1 0:00:00
DAO:Winning NFT亮相數字金融世界大會_HairDAO

2022年的數字金融世界活動在德國法蘭克福舉行,WinningDao和MateStar標志著它的存在。該活動在2022年的6月23-日至6月24日之間共進行了兩天.

1900/1/1 0:00:00
FLUX:6.29即將收月線 注意行情再次探底_Chainflix

幣圈咨詢 6月29日熱點; 1.瑞典央行官員:各國政府可能會限制外國人進入其CBDC2.加密領域風險投資資金在6月份再次放緩投資3.

1900/1/1 0:00:00
ETH:詳解借貸協議Maker、Aave、Compound的風控機制_Crypto Makers Foundation

杠桿資金是一把雙刃劍,推動著周期的鐘擺向兩端運行。在牛市中,杠桿資金為資產價格的上升提供額外燃料,而在最近的下跌行情中,杠桿資金引發的連環清算與恐慌為加密世界蒙上了一片陰影.

1900/1/1 0:00:00
ads