by cryptoblog Sumber : Rekt News
Dunia crypto emang gak habis kena hack karena menurut saya pun dunia crypto ini masih relatif muda dan pasti banyak memiliki bug namun dengan adanya hack seperti ini membuat kita bisa lebih aware lagi ke depannya dan memperbaikinya agak tidak lagi terulang di masa depan.
Harmoni telah mencapai catatan buruk.
Untuk nada $100 juta.
Ini adalah jembatan ke-3 di 10 teratas, dan yang kedua dikeringkan melalui kunci pribadi yang disusupi.
Lebih dari 14 jam setelah dana pertama mulai bergerak, pencurian diumumkan.
Apakah sembilan angka benar-benar dijamin hanya dengan dua tanda tangan?
Kredit: RugDocIO, BeosinAlert
Jembatan Harmoni diamankan oleh 2 dari 5 multisig, di mana alamat berikut telah dikompromikan:
0xf845A7ee8477AD1FB4446651E548901a2635A915
0x812d8622C6F3c45959439e7ede3C580dA06f8f25
Vektor serangan yang memungkinkan peretas untuk mengendalikan alamat ini masih belum diketahui, meskipun beberapa orang berspekulasi bahwa itu adalah dompet panas dengan kunci pribadi yang disimpan dalam teks biasa.
Jika penyerang berhasil mendapatkan akses ke server yang menjalankan dompet panas ini, mereka akan memiliki akses ke dua alamat yang diperlukan untuk melewati transaksi apa pun yang mereka suka, seperti menguras $100 juta dari jembatan.
Alamat pengeksploitasi: 0x0d043128146654c7683fbf30ac98d7b2285ded00
Jembatan Harmony ETH: 0xf9fb1c508ff49f78b60d3a96dea99fa5d7f3a8a6
Jembatan Harmoni ERC20: 0x2dCCDB493827E15a5dC8f8b72147E6c4A5620857
Jembatan Harmoni BUSD: 0xfd53b1b4af84d59b20bf2c20ca89a6beeaa2c628
Mulai pukul 11:06 UTC, peretas mengirim 13,1 ribu ETH dari Jembatan ETH ke alamat pengeksploitasi, 5,5 juta BUSD dari Jembatan BUSD dan menguras aset berikut dari Jembatan ERC20:
Di atas dikirim ke alamat pengeksploitasi 2 dan 3, ditukar ke ETH dan dikembalikan ke alamat utama, di mana mereka tetap.
Di BSC, penyerang juga mengambil 5k BNB dan 640k BUSD yang juga tetap berada di alamat BSC.
Aliran dana dapat dilihat pada grafik Peckshield di bawah ini:
Sejak peretasan, jumlah penandatangan telah diperbarui menjadi 4.
Terlalu sedikit, terlambat.
Sejak insiden Ronin yang memuncaki papan peringkat, di mana kunci ke 5 dari 9 validator dikompromikan, ada banyak pembicaraan tentang kampanye spearphishing canggih yang dianggap berasal dari grup Lazarus.
Dengan ancaman seperti ini yang dikenal tanpa henti menargetkan proyek cryptocurrency, fakta bahwa jembatan resmi seluruh jaringan lain dapat dikuras dengan mengorbankan hanya dua alamat jauh dari dapat diterima.
Tidak hanya kasus-kasus lain yang membuat bel alarm berbunyi, tetapi pada awal April @_apedev secara khusus menyebut situasi keamanan jembatan Harmony yang genting.
Bagaimana para pengembang mengabaikan, dan kemudian mengabaikan, keamanan yang lemah untuk mengamankan 9 angka dana pengguna?
Harmony selalu berjuang untuk menarik pengguna.
Setelah serangan ini, dan dengan sentimen pasar yang selalu terendah, apakah ini encore terakhir untuk Harmony Network?
