热门资讯

价值近一亿美元,Harmony巨额加密货币资产失窃

资讯 作者:看雪学院 2022-06-30 16:07:13 阅读:529

编辑:左右里


前几日,有黑客从区块链公司Harmony窃取了价值近一亿美元的加密货币。事情发生后,Harmony承诺,若攻击者归还资金并分享漏洞利用信息,将提供100万美元的赏金,并表示不会提出刑事指控。


Harmony的事件响应团队宣布,它没有发现任何关于公司智能合约代码的违规行为或平台漏洞的迹象。Harmony表示Harmony区块链的共识层仍然是安全的。


经调查,事件响应团队发现了私钥被泄露的证据。攻击者通过以某种方式控制MultiSigWallet的所有者直接调用confirmTransaction()从Harmony转移了大量代币(包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX,价值从49178美元到41200000美元不等),导致Harmony链上总共损失了价值约9700万美元的资产。最后,所有资产都被交易到以太坊,目前仍保留在以太坊网络上的攻击者帐户中。攻击者目前尚未采取任何措施来清洗这些资产。


区块链安全公司Certik发布了对这一事件的详细分析,它证实攻击者能够控制multiSig钱包所有者的权限,然后从Harmony中窃取资金。


Certik以涉及13100枚ETH的第一个漏洞利用交易为例。


1、MultiSigWallet 合约的所有者调用 submitTransaction() 函数来提交具有以下有效负载的交易,生成交易ID 21106。



2、要确认交易,调用方必须是所有者。


3、接下来,在漏洞利用交易中,MultiSigWallet 合约的所有者从MultiSigWallet输入交易 Id 21106调用函数 confirmTransaction()。


4、若要成功执行交易,调用方必须是所有者。


5、executeTransaction() 函数输入数据调用一个外部调用,该调用将触发 Ethmanager 合约上的unlockEth() 函数。


6、输入数据指定即将传递给unlockEth() 函数的金额、接收人和接收Id。


7、由于攻击者以某种方式控制了所有者的权限,攻击者能够使用id 21106执行交易,从而将13100枚以太币转移到攻击者的地址。


8、攻击者在其他ERC20Manager合约上使用不同的交易ID重复了前面的过程,以转移大量的ERC20代币和稳定币。


Harmony公司已向当局报告了这一事件,美国联邦调查局正在几家网络安全公司的帮助下进行调查。


资讯来源:certik

转载请注明出处和本文链接



每日涨知识

彩虹表(Rainbow tables)

一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,常用来破解md5。



推荐文章++++

热搜第一!QQ大批账号被盗、发送不雅图片
严重PHP漏洞使威联通设备面临远程代码执行风险
Lookout发现在哈萨克斯坦使用的Android间谍软件
德国指控俄罗斯黑客对北约智库进行网络间谍攻击
热搜爆了!学习通数据库疑发生信息泄露,超1.7亿数据被非法售卖
Claroty披露西门子工业网络管理系统15个漏洞
抓捕两千人!国际刑警组织打击电信和社会工程学诈骗








球分享

球点赞

球在看



“阅读原文一起来充电吧!

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 SSLHUB 立场
本文由 看雪学院发表,转载此文章须经作者同意,并请附上出处( SSLHUB )及本页链接。
原文链接 https://www.sslhub.cn/freessl/news/1795.html
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
猜你喜欢
赞助链接
在线咨询

电话:188-8877-1003

邮箱:Sales@knowsafe.com

地址:四川省成都市高新南区天府大道北段1700号

时间:周一到周日: 早9点 – 晚12点

数字证书产品
单域名证书
多域名证书
代码签名
通配符
数字证书品牌
TrustAsia
Digicert
GeoTrust
GlobalSign
CFCA
24/7帮助中心
技术支持
常见问题
关于我们
关于我们
联系我们
iTrust