2022年6月24日,成都链安链必应-区块链安全态势感知平台舆情监测显示,由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。目前Harmony官方已通知交易所并暂停了Horizon跨链桥。成都链安安全团队对此事件进行了分析,现与大家分享。
HarmonyBridge是一个跨链桥项目,由五个验证者节点进行操作验证,本次攻击主要原因是由于两个验证者节点的私钥疑似泄露,导致合约的confirmTransaction函数被成功调用。
澳大利亚已经使用央行数字货币eAUD进行第一笔外汇交易:金色财经报道,区块链基础设施供应商Canvas在一份声明中说,加密货币基金经理DigitalX和TAF Capital将eAUD与稳定币USDC进行了第一笔外汇交易,Canvas报告,这笔交易是即时结算的,外汇交易是目前正在进行的一系列测试的一部分,标志着澳大利亚已经使用央行数字货币eAUD进行第一笔外汇交易,且被用于使用以太坊第二层区块链的美元稳定币的交易。[2023/5/18 15:10:28]
专注于加密货币矿机业务的聪链集团在美纳斯达克上市:金色财经报道,上海聪链信息科技有限公司的实质控股公司Intchains Group Limited在美国纳斯达克挂牌上市,股票代码为“ICG”。其曾于2022年1月18日在美国SEC秘密递表。招股书显示,公司的业务和财务状况与加密货币的市场价格高度相关。公司几乎所有的收入都来自销售用于加密货币矿机的 ASIC 芯片。公司于招股书中提示称,当前加密货币市场价格整体呈现波动走势,或对公司的业务、财务状况和经营业绩产生不利影响。
聪链集团(ICG.US)是一家为区块链应用提供高性能计算ASIC芯片和配套软硬件的综合解决方案提供商,主要利用无晶圆厂的商业模式,专注于IC设计的前端和后端,与领先的代工厂建立了强大的供应链管理。[2023/3/17 13:10:28]
#攻击过程
BTC 3年以上活跃供应百分比达一个月低点:金色财经报道,据Glassnode数据显示,BTC供应百分比最近活跃3年以上达一个月低点,数额为38.749%。[2022/11/18 13:21:58]
攻击者地址:
0x0d043128146654C7683Fbf30ac98D7B2285DeD00
私钥疑似泄露地址:
0xf845A7ee8477AD1FB4446651E548901a2635A915
0x812d8622C6F3c45959439e7ede3C580dA06f8f25
被攻击合约:
0x715cdda5e9ad30a0ced14940f9997ee611496de6
Chandler Guo:10年后ETHW将会和ETH等价:金色财经报道,以太坊硬分叉的发起人Chandler Guo表示,ETH和最近空投的工作证明型ETHW在十年后将具有相同的美元价值。Chandler Guo认为,新的代币目前的交易价格只是其9月15日高点的一小部分,所以仍有可能增长100倍。但他承认,在实现这个百倍增长之前,分叉的区块链还有很多事情要做。目前,ETH价格很高,因为有很多开发者和200多个不同的项目在以太坊PoS链上运行。而ETHW上的项目还不到10个。
尽管如此,Guo透露,在合并后的短短四天内,ETH工作证明链已经有两个DEX,两个桥,以及两个NFT交易所启动。事情正在一步步发生,一年后我认为会有超过100个项目在PoW链之上运行。(news.bitcoin)[2022/9/23 7:16:38]
示例哈希:
韩国Zepeto将与Solana和Jump Crypto合作构建元宇宙项目ZepetoX:金色财经消息,据一份新闻稿称,韩国元宇宙开发平台Zepeto已经与Solana和Web 3.0开发商Jump Crypto合作,构建ZepetoX,这是一个基于加密货币的元宇宙项目。ZepetoX旨在建立一个3D开放世界平台,创作者和用户可以在区块链技术的基础上建造、玩耍和earn。
据报道,Zepeto将在Solana区块链上建立该平台,并计划在未来几个月内推出其首次NFT土地销售。由韩国互联网巨头Naver建立的Zepeto元空间,在今年早些时候达到了2000万月活用户。(forkast.news)[2022/8/10 12:14:52]
0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65
被攻击的transactionId:21106-21118(eth),120515-120518(bsc)
私钥泄露地址0x812d......8f25地址调用了0x715c......6de6合约的confirmTransaction函数进行操作验证,此处我们以被攻击的transactionId:21107进行分析。
可以发现在本次交易中,isConfirmed的验证返回为true。
但是我们在合约中进行验证者节点查询会发现,虽然owner有五个,但是仅有两名验证者进行了验证。
攻击者就利用这两个验证者节点成功使用external_call获取了相应的代币,并反复利用此攻击来获利。
后续项目方通过transactionId为21126的交易将验证者节点confirm通过的数量从2改为了4。
#资金追踪
本次攻击事件以太坊上损失了85,867个ETH,990个AAVE和78,500,000个AAG,BSC上损失了5,000个BNB和640,000个BUSD,共计约100,428,116美元,目前被盗资金还保存在攻击者地址。成都链安将用链必追对被盗资金进行持续追踪。
#事件总结
这次攻击事件中,攻击者利用了验证者节点验证通过需求数量较少的情况,利用两个验证者节点从而盗取了上亿美金的资产。建议项目方在设计验证者节点验证数量需求尽量选择较多节点,并且做好验证者节点的节点安全。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。