O hacker de US $ 100 milhões da Harmony assumiu o controle de sua carteira multi-assinatura, dizem analistas

Na quinta-feira, a Harmony, uma blockchain de prova de participação (PoS), perdeu US$ 100 milhões em um roubo em sua ponte ligada ao Ethereum. 

O hacker anônimo roubou vários ativos, incluindo ETH, BNB, USDT, USDC e DAI. Esses ativos foram anteriormente interligados do Ethereum ao blockchain Harmony através da ponte Horizon.

Em resposta, a Harmony disse que estava trabalhando com agências de aplicação da lei e empresas de segurança cibernética. Ainda assim, a equipe não explicou como o hack aconteceu.

Embora a equipe do Harmony ainda não tenha fornecido um post-mortem oficial, especialistas em segurança ofereceram algumas informações sobre o hack. De acordo com o Mudit Gupta, diretor de segurança da informação da Polygon, o criminoso ganhou o controle da carteira multi-assinatura usada na implantação do Harmony's ponte.

A carteira multi-assinatura é uma conta de contrato inteligente que é gerenciada com várias chaves privadas, divididas entre várias entidades em vez de uma única pessoa. Gupta descobriu que os fundos da carteira da ponte exigiam uma permissão de pelo menos duas das cinco chaves privadas totais, então tO perpetrador pode ter extraído duas chaves privadas e obtido o controle.

“A ponte era essencialmente um multi-sig 2 de 5. Se quaisquer 2 endereços dissessem para transferir fundos para alguém, ele o fez”, Gupta dito. “O hacker comprometeu 2 endereços e os fez drenar o dinheiro.”

CertiK, uma empresa de segurança de contrato inteligente, corroborou que o hacker, de fato, tinha como alvo a carteira multi-assinatura da ponte. Em um relatório de sexta-feira, CertiK disse: “O invasor conseguiu isso [explorar] controlando de alguma forma o proprietário do MultiSigWallet para chamar o confirmTransaction() diretamente para transferir grandes quantidades de tokens da ponte no Harmony.” 

Esta é uma história em desenvolvimento. Harmony não respondeu imediatamente a um pedido de comentário.

© 2022 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.