ニュース
HarmonyのHorizonブリッジハックとその技術的な事後分析の最新情報
調和、双方向を提供するオープンで高速なレイヤー1ブロックチェーン イーサリアム 橋、 苦しんだ 6月24日の不幸なハック。 イーサリアムへのクロスチェーンブリッジであるホライゾンは、ETHで約1億ドル相当のこのエクスプロイトを記録しました。 プラットフォームは影響を受けたブリッジを停止しましたが、いくつかの質問は未回答のままです。
状況をよりよく把握するために、このハッキングの原因について詳しく説明します。
オーナーを公開しますか?
のセキュリティ専門家 CertiK チーム、6月25日に投稿されたブログで 共有 強盗につながった主要なイベントを強調する詳細な分析。 有名な通信社であるWuBlockchainは、後にこの開発を彼のTwitterフィードで再共有しました。
Certik:攻撃者は、MultiSigWalletの所有者を制御してconfirmTransaction()を直接呼び出し、Harmonyのブリッジから大量のトークンを転送することでこれを達成しました。 https://t.co/M1VNahGKcQ
— wu Blockchain(@WuBlockchain) 2022年6月24日
予備分析 展示 申し立てられた住所が11になった トランザクション さまざまなトークンのブリッジから。 さらに、個人はトークンを 違う でETHと交換するウォレット ユニスワップ 分散型取引所(DEX)は、ETHを元のウォレットに送り返しました。
いくつかの後 さらなる調査、専門家の分析により、12の攻撃トランザクションと3つの攻撃アドレスが特定されました。 これらのトランザクション全体で、攻撃者はETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH、FRAXなどのさまざまなトークンをブリッジ上でネット化しました。
「攻撃者は、MultiSigWalletの所有者を制御してconfirmTransaction()を直接呼び出し、Harmonyのブリッジから大量のトークンを転送することでこれを達成しました。 これにより、攻撃者が1つのメインアドレスに統合したハーモニーチェーン上の約9,700万ドル相当の資産が失われました。」
このイベントは、以下に示すように順番に発生しました。
イベントの連鎖
MultiSigWalletコントラクト(0xf845a7ee8477ad1fb446651e548901a2635a915)の所有者は、submitTransaction()関数を呼び出してトランザクションを送信しました。 次のペイロードを組み込んで、トランザクションにトランザクションID21106を生成しました。
次に、エクスプロイトトランザクションで、所有者は入力トランザクションID 21106を使用してMultiSigWalletから関数confirmTransaction()を呼び出しました。executeTransaction()関数は入力データを使用して外部呼び出しを呼び出しました。 このステップにより、EthmanagerコントラクトでunlockEth()関数がトリガーされました。
攻撃者が所有者の権限を制御したという事実を考えると、ロック解除は、前述のクロスブリッジエクスプロイトへのパスを導きました。 ブログも追加しました、
「攻撃者はID21106でトランザクションを実行し、13,100ETHを攻撃者のアドレスに転送しました。」
しかし、それだけではありません。 申し立てられたハッカーは、他のERC20Manager契約で異なるトランザクションIDを使用して前のプロセスを続行し、大量のERC20トークンとステーブルコインを転送しました。
全体として、そのような事件は、使用に関する懐疑的なシナリオ全体を悪化させました クロスチェーンブリッジ。 今年の初めに、私たちは両方を目撃しました 浪人橋 エクスプロイトと ワームホール エクスプロイト。
これは英語版からの翻訳です。