USD:安全團隊：Harmony Bridge遭遇攻擊原因或為私鑰泄露

成都鏈安安全團隊對今日HarmonyBridge被攻擊事件進行了分析：HarmonyBridge疑似私鑰泄露，其中在transactionId為21106到21118的序號遭受到了攻擊(在BNB為120515到120518)，以太坊上損失了85,867個eth，990個AAVE和78,500,000個AAG，BSC上損失了5,000個BNB和640,000個BUSD，共計約100,428,116美元，目前被盜資金還保存在攻擊者地址。

安全團隊：BNB Chain上的代幣BRA價格歸零，或因代幣異常超發所致:1月10日消息，據Fairyproof監測系統顯示，BNB Chain上的代幣 BRA價格歸零。

根據Fairyproof分析，該代幣在交易時會被征稅，所征的稅費會被直接發送至進入交易對，并且稅費被添加了兩次。在這種機制下，經過多次這樣的交易后，交易對中的代幣持續增加。與此同時任何用戶都可以調用skim函數取出交易對中多余的代幣，這導致了代幣的實際數量進而超過其發行上限。

可能的攻擊流程為：1、閃電貸借錢， 2 、買光池子代幣 ，3 、將買的代幣轉入池子 ，4、調用 skim 函數，指定接收地址為交易對，利用漏洞增發， 5、 重復第4步， 6、最后skim 指定接收地址為自己，得到所有代幣， 7 、將代幣兌換回其它資產，歸還閃電貸。

Fairyproof提醒所有項目方：項目部署前要仔細做好代碼審計，用戶在投資代幣前要仔細閱讀項目的審計報告。[2023/1/10 11:04:18]

攻擊的根本原因是0xf845A7ee8477AD1FB4446651E548901a2635A915和0x812d8622C6F3c45959439e7ede3C580dA06f8f25地址的私鑰疑似泄露。合約在進行isConfirmed檢查時，僅需要兩個驗證者節點通過就能成功驗證。后續項目方在21126的transactionId中(在BSC為120531)將驗證者節點isConfirmed通過數量的require值修改為了4。

安全團隊：Amber相關地址轉出200萬枚USDC至匿名地址:金色財經報道，據派盾監測數據顯示，Amber Group相關地址轉出200萬枚USDC至匿名地址0x0ca2...088。[2022/12/8 21:31:12]

此前消息，以太坊與Harmony間跨鏈橋Horizo??n遭遇攻擊，損失約1億美元。

安全團隊：“ustbonus.com”是釣魚網站，已有虛假USDT轉入多個EOA賬戶:金色財經報道，安全團隊CertiK預警監測顯示，某EOA賬戶地址將偽造的USDT轉入到多個EOA錢包，并且交易被偽裝成由Tether官方合約發起。CertiK稱，與之相關的網站“ustbonus.com”是釣魚網站，請用戶不要與該網站進行交互。[2022/11/25 20:45:32]

Tags：USDBNBKIMSKIEUSDXMASBNB幣METAFLOKIMG幣USKITA價格

火必