TRA:被盜1億美元的Harmony 驗證者節點安全如何保障？

2022年6月24日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊，損失金額約為1億美元。目前Harmony官方已通知交易所并暫停了Horizon跨鏈橋。成都鏈安安全團隊對此事件進行了分析，現與大家分享。

HarmonyBridge是一個跨鏈橋項目，由五個驗證者節點進行操作驗證，本次攻擊主要原因是由于兩個驗證者節點的私鑰疑似泄露，導致合約的confirmTransaction函數被成功調用。

昨日BTC活躍地址為96.215萬個，新增地址數46.261萬個:金色財經報道，數據顯示，昨日BTC活躍地址數為96.215萬個，較7日均值上漲9.61%；昨日BTC新增地址數46.261萬個，較7日均值上漲9.13%。[2023/5/5 14:44:52]

#攻擊過程

攻擊者地址：

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

Michael Saylor回應瑞·達利歐：比特幣是唯一一種能夠使所有利益一致的東西:金色財經報道，橋水基金創始人、億萬富翁瑞·達利歐在社交媒體上稱，大多數人只假裝為雇主的利益而行動，而實際上是在為他們自己的利益而行動。因此，雇主應警惕利益沖突。對此，前MicroStrategy首席執行官Michael Saylor回復稱，比特幣是唯一一種能夠使所有利益一致的東西，由于比特幣固有的中立性，因此可以專注于和平參與、理性行動和生產性行業。10月初，瑞·達利歐宣布辭去在橋水基金中的職務并將自己所有的投票權轉讓給董事會。[2022/10/17 17:28:30]

私鑰疑似泄露地址：

交易所BTC存款跌至2年低點，比特幣拋售壓力減弱:金色財經報道，加密貨幣分析平臺Glassnode的數據顯示，截至8月25日，比特幣在7天移動平均線下的加密貨幣交易所存款進一步暴跌至兩年低點。?此外，在7天移動平均線上虧損的比特幣地址數量也達到了18,047,967.768個的一個月高點。?[2022/8/26 12:51:16]

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

被攻擊合約：

MistTrack：cBridge嫌疑攻擊者已將約130枚ETH轉入Tornado Cash:8月18日消息，據MistTrack監測，此前對cBridge進行DNS劫持的攻擊者或為以0xb0f5fa開頭的地址，目前該地址已向Tornado Cash轉移了128.4枚ETH。[2022/8/18 12:33:37]

0x715cdda5e9ad30a0ced14940f9997ee611496de6

示例哈希：

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

被攻擊的transactionId:21106-21118(eth),120515-120518(bsc)

私鑰泄露地址0x812d......8f25地址調用了0x715c......6de6合約的confirmTransaction函數進行操作驗證，此處我們以被攻擊的transactionId：21107進行分析。

可以發現在本次交易中，isConfirmed的驗證返回為true。

但是我們在合約中進行驗證者節點查詢會發現，雖然owner有五個，但是僅有兩名驗證者進行了驗證。

攻擊者就利用這兩個驗證者節點成功使用external_call獲取了相應的代幣，并反復利用此攻擊來獲利。

后續項目方通過transactionId為21126的交易將驗證者節點confirm通過的數量從2改為了4。

#資金追蹤

本次攻擊事件以太坊上損失了85,867個ETH，990個AAVE和78,500,000個AAG，BSC上損失了5,000個BNB和640,000個BUSD，共計約100,428,116美元，目前被盜資金還保存在攻擊者地址。成都鏈安將用鏈必追對被盜資金進行持續追蹤。

#事件總結

這次攻擊事件中，攻擊者利用了驗證者節點驗證通過需求數量較少的情況，利用兩個驗證者節點從而盜取了上億美金的資產。建議項目方在設計驗證者節點驗證數量需求盡量選擇較多節點，并且做好驗證者節點的節點安全。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

來源：金色財經

Tags：TRA比特幣CTISACTEvident Proof Transaction Token泰達幣和比特幣區別auction幣值得投資嗎SACT價格

區塊鏈