ניצול חולשה נוסף: 100 מיליון ד' נגנבו מרשת הבלוקצ'יין Harmony

ניצול חולשה במנגנון ריבוי חתימות בארנק הדיגיטלי של הרמוני (Harmony) איפשר להאקר לרוקן 100 מיליון דולר בנכסים דיגיטליים.
Harmony ONE

ביום חמישי (ה') רשת הבלוקצ'יין הרמוני איבדה 100 מיליון דולר בנכסים דיגיטליים שהועברו מפרוטוקול הורייזון (Horizon), שהוא גשר המחבר בין הרמוני לבין רשתות בלוקצ'יין אחרות באופן שמאפשר למשתמשים לשלוח מטבעות דיגיטליים מרשת אחת לשניה.

הרמוני היא רשת בלוקצ'יין מבוססת מנגנון הוכחת החזקה (Proof of Stake) והניצול שחוותה התאפשר בשל חולשה במנגנון אבטחת הארנק הדיגיטלי שלה אשר השתמש בריבוי חתימות (Multisig, קיצור של Multiple Signatures), כלומר בשיטה הדורשת מספר חתימות דיגיטליות ממספר מפתחות פרטיים שונים כדי לבצע טרנסקציות.

ההאקר גנב מטבעות דיגיטליים שונים, לרבות אתריום (ETH), בי.אנ.בי (BNB), דאי (DAI) ובנוסף USDC ו-USDT. המטבעות הומרו בהמשך לאתריום במספר בורסות מבוזרות (DEX).

התגובה של הרמוני

בציוץ של הרמוני החברה אישרה כי זוהתה גניבה מגשר הורייזון וציינה כי היא עובדת עם רשויות אכיפת החוק ועם חברות אבטחת מידע כדי לזהות את ההאקר ולהשיב את הנכסים שנגנבו.

בפוסט מטעם החברה נאמר כי נציגיה ניסו ליצור קשר עם ההאקר באמצעות הודעה ששולבה בטרנסקציה שהועברה לכתובת הארנק שלו.

בהרמוני לא סיפקו הסבר לאופן בו התבצעה הגניבה, אך ציינו כי עצרו את הפעילות בגשר הורייזון עד להשלמת הבדיקה בעניין. החברה הוסיפה כי גשר אחר שלה, המקשר לרשת הבלוקצ'יין של ביטקוין, לא הושפע מהמקרה.

המומחים מספקים הסבר

בעוד משתמשי הרמוני ממתינים להסבר רשמי מהחברה למקרה, מומחים אחרים הציעו את הפרשנות שלהם. על פי Mudit Gupta, מנהל אבטחת המידע של רשת פוליגון, ההאקר ניצל ארנק מולטיסיג של הרמוני בו נדרשו 2 חתימות מתוך 5 כדי לבצע טרנסקציות. ככל הנראה ההאקר הצליח להשתלט על שניים מהמפתחות הפרטיים של הארנק וכך להעביר אל הארנק שלו את המטבעות שנגנבו.

CertiK, חברת אבטחת חוזים חכמים, אישרה את הדברים. 

אזהרה מוקדמת

התברר כי משתמש טוויטר בשם Ape Dev צייץ כבר באפריל על כך שהוא מוטרד מהאבטחה בגשר הורייזון. הוא ציין כי אבטחת הטרנסקציות בגשר תלויה במנגנון מולטיסיג הדורש רק 2 חתימות ואמר כי על רקע זה אנו עלולים להיות עדים להתקפה נוספת בסכום של תשע ספרות. Ape Dev סיים בכך שיהיה מעניין לשמוע מה יש להרמוני להגיד בנושא, אך החברה לא הגיבה לאזהרותיו.

לסיכום

המקרה הנוכחי מצטרף למקרים קודמים השנה של ניצולי פרצות אבטחה ומביא את סך הכספים שנגנבו אל מעל מיליארד דולר.

במרץ נגנבו מעל 600 מיליון דולר מרשת רונין (Ronin) בהתקפה שרשויות אמריקניות שייכו לקבוצת ההאקרים הצפון קוריאנית לאזארוס (Lazarus). בפברואר נגנבו מעל 320 מיליון דולר מגשר Wormhole.

ONE, המטבע של הרמוני, הגיב לחדשות וב-24 השעות שלאחר ההודעה על ניצול הפרצה איבד מעל 14% מערכו. נכון לכתיבת שורות אלה הוא נסחר במחיר של 0.025 דולר.

 

קבלו את העדכונים והחדשות הכי חמות מעולם הקריפטו ישירות למייל שלכם:

שתפו:

פיני שרגיל בן סירה

פיני שרגיל בן סירה

פיני הוא איש הייטק בעברו, שמגיע מתחום הכתיבה, ניהול התוכן והתקשורת השיווקית. לאחרונה החל את דרכו במרחב המרתק והאינסופי של הקריפטו. מתעניין באופן בו הרעיונות והטכנולוגיות של עולמות הבלוקצ'יין והקריפטו ישפיעו על מבני הכוח החברתיים והכלכליים בעולם.
פיני שרגיל בן סירה

פיני שרגיל בן סירה

פיני הוא איש הייטק בעברו, שמגיע מתחום הכתיבה, ניהול התוכן והתקשורת השיווקית. לאחרונה החל את דרכו במרחב המרתק והאינסופי של הקריפטו. מתעניין באופן בו הרעיונות והטכנולוגיות של עולמות הבלוקצ'יין והקריפטו ישפיעו על מבני הכוח החברתיים והכלכליים בעולם.

שנת 2024 היא שנת הקריפטו

תנו לנו ללמד אתכם איך
לסחור ולהרוויח!

אל תפספסו את ההזדמנות - נותרו 5 מקומות אחרונים

👇השאירו פרטים עכשיו👇

מומחה מומלץ

לורם איפסום דולור סיט אמט, קונסקטורר אדיפיסינג אלית לפרומי בלוף קינץ תתיח לרעח. לת צשחמי צש בליא, מנסוטו צמלח לביקו ננבי, צמוקו בלוקריה.

cropped-logo-cryptojungle-2.png

להתחברות מלאו שם משתמש וסיסמה

פרטייך התקבלו בהצלחה! 🎉

בנתיים, יש לך אפשרות לבחור מבין הפעולות הבאות:

דילוג לתוכן