Sib raug zoo, qhib thiab ceev txheej-1 blockchain muab ob txoj kev Ethereum choj, raug kev txom nyem muaj hmoo hack rau 24 Lub rau hli ntuj. Horizon, nws tus choj hla mus rau Ethereum, tau sau qhov kev siv nyiaj no muaj nqis ze li $ 100 lab hauv ETH. Txawm hais tias lub platform tau nres tus choj cuam tshuam, qee cov lus nug tseem tsis tau teb.
Yuav kom tau txais kev tuav zoo dua ntawm qhov xwm txheej, ntawm no yog qhov tob tob rau qhov ua rau qhov hack no.
Qhia tus tswv, puas yog?
Cov kws paub txog kev ruaj ntseg ntawm cov Ntawv pov thawj pab neeg, hauv blog tshaj tawm rau 25 Lub Rau Hli, Sib koom ib tug sib sib zog nqus tsom xam hais txog cov xwm txheej tseem ceeb uas coj mus rau heist. Wu Blockchain, lub koom haum xov xwm nto moo, tom qab ntawd rov qhia txog qhov kev txhim kho no ntawm nws Twitter pub.
Certik: Tus neeg tawm tsam tau ua tiav qhov no los ntawm kev tswj hwm tus tswv ntawm MultiSigWallet kom hu rau confirmTransaction() ncaj qha mus hloov cov lej loj ntawm tus choj ntawm Harmony. https://t.co/M1VNahGKcQ
- Wu Blockchain (@WuBlockchain) Lub rau hli ntuj 24, 2022
Kev tsom xam ua ntej showcased tias qhov chaw nyob liam ua 11 muas los ntawm tus choj rau ntau yam tokens. Tsis tas li ntawd, tus neeg xa ntawv tokens rau a txawv hnab nyiaj los pauv rau ETH ntawm lub uniswap decentralized pauv (DEX), ces xa ETH rov qab mus rau lub hnab nyiaj qub.
Tom qab qee qhov kev tshawb nrhiav ntxiv, cov kws tshaj lij tsom xam tau txheeb xyuas 12 qhov kev lag luam tawm tsam thiab peb qhov chaw nres nkoj. Thoob plaws cov kev lag luam no, tus neeg tawm tsam netted ntau yam tokens ntawm tus choj suav nrog ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH, thiab FRAX.
"Tus neeg tawm tsam ua tiav qhov no los ntawm kev tswj hwm tus tswv ntawm MultiSigWallet kom hu rau kev lees paub Transaction() ncaj qha kom hloov pauv cov lej loj ntawm tus choj ntawm Harmony. Qhov no ua rau poob tag nrho ib ncig ntawm $ 97M tus nqi ntawm cov cuab yeej cuab tam ntawm Harmony saw uas tus neeg tawm tsam tau koom ua ke rau hauv ib qhov chaw tseem ceeb. "
Qhov kev tshwm sim no tshwm sim nyob rau hauv ib theem zuj zus raws li showcased hauv qab no.
Cov saw ntawm cov xwm txheej
Tus tswv ntawm MultiSigWallet daim ntawv cog lus (0xf845a7ee8477ad1fb446651e548901a2635a915) hu ua submitTransaction() muaj nuj nqi xa cov kev sib pauv. Nws suav nrog cov nyiaj them poob haujlwm hauv qab no los tsim cov kev hloov pauv ID 21106 hauv kev sib pauv.
Source: Certik
Tom ntej no, nyob rau hauv lub exploit muas, tus tswv hu ua function confirmTransaction() los ntawm lub MultiSigWallet nrog cov input lw Id 21106. Lub executeTransaction() muaj nuj nqi invoked ib tug sab nraud hu nrog cov ntaub ntawv input. Cov kauj ruam no ua rau lub unlockEth() ua haujlwm ntawm Ethmanager daim ntawv cog lus.
Source: Certik
Muab qhov tseeb tias tus neeg tawm tsam tswj hwm tus tswv txoj cai, qhov qhib tau coj txoj hauv kev mus rau kev siv tus choj hla ntawd. Lub blog kuj ntxiv,
"tus neeg tawm tsam tau ua tiav qhov kev sib pauv nrog id 21106, uas pauv 13,100 ETH rau tus neeg tawm tsam qhov chaw nyob."
Tab sis qhov ntawd tsis yog nws. Tus neeg raug liam liam tau txuas ntxiv cov txheej txheem dhau los uas siv cov ID sib txawv ntawm lwm ERC20Manager cov ntawv cog lus kom hloov pauv nyiaj ntau ntawm ERC20 tokens thiab cov nyiaj ruaj khov.
Zuag qhia tag nrho, cov xwm txheej zoo li no tau ua rau tag nrho cov kev tsis ntseeg siab nyob ib puag ncig siv txoj kab uas hla choj. Nyuam qhuav pib lub xyoo no peb pom ob qho tib si Ronin Choj exploit thiab Dab tsis muaj feat.
Tau qhov twg los: https://ambcrypto.com/latest-in-harmonys-horizon-bridge-hack-and-its-technical-post-mortem/