Tìm ra lỗ hổng khiến Harmony bị hack 100 triệu USD

Tác giả: Tạ Thị Thu Trang
Ngày đăng: 27-06-2022 | 17:36:25

Nguyên nhân sâu xa của vụ hack lấy cắp 100 triệu đô la từ Harmony hôm 22/06 vừa qua gần như đã có lời giải.

Harmony bị hack 100 triệu USD

Harmony bị hack 100 triệu USD
Harmony bị hack 100 triệu USD

Thứ Tư tuần trước (22/06), Harmony, một công ty blockchain Layer 1 do Stephen Tse ra mắt vào năm 2019, đã bị đánh cắp 100 triệu USD trong một vụ tấn công tin tặc. Đây là vụ đánh cắp tiền ảo gần nhất với thiệt hại rất lớn đối với giới tài chính phi tập trung (DeFi), Trong khi thị trường tài sản số đang trải qua chuỗi ngày lao đao chưa từng có khi Bitcoin xuống dưới 20,000 USD. 

Harmony, nhà phát triển cầu nối Horizon tiết lộ rằng họ đã xác định được nghi phạm và đang làm việc với FBI, các cơ quan có liên quan và các công ty an ninh mạng để cố gắng thu hồi số tiền bị đánh cắp từ cuộc tấn công.

Ngày hôm sau, giám đốc bảo mật thông tin của Polygon, Mudit Gupta, cho biết tin tặc có thể đã khai thác khả năng xâm phạm sơ đồ đa chữ ký: multisig. Một số nhà nghiên cứu suy đoán rằng đây là lỗ hổng để tin tặc lợi dụng khi multisig chỉ yêu cầu 2 trong 5 chữ ký để bắt đầu thực hiện giao dịch. 

Gupta giải thích:

“Hacker đã xâm nhập 2 địa chỉ và khiến họ tiêu hết tiền. Hai địa chỉ có khả năng là ví nóng được sử dụng để lắng nghe và xử lý các giao dịch bắc cầu hợp pháp ”.

Cách cầu nối chuyển tài sản xuyên chuỗi hoạt động

Cách cầu nối chuyển tài sản xuyên chuỗi hoạt động
Cách cầu nối chuyển tài sản xuyên chuỗi hoạt động

Các cầu nối blockchain như Harmony đã đóng một vai trò quan trọng đối với tài chính phi tập trung (DeFi), vì chúng cung cấp cho người dùng khả năng chuyển tài sản của họ từ blockchain này sang blockchain khác. Trong trường hợp cụ thể của Horizon, người dùng có thể gửi mã thông báo từ mạng Ethereum đến Binance Smart Chain. 

Các Bridge (cây cầu) hiện là mục tiêu rất hấp dẫn đối với tin tặc vì các lỗ hổng trong mã cơ bản của chúng và lượng thanh khoản lớn mà chúng cần lưu trữ .

Người sáng lập giao thức Harmony đã viết trong một báo cáo về vụ việc rằng:

“Nhóm nghiên cứu đã tìm thấy bằng chứng cho thấy các khóa riêng đã bị xâm phạm, dẫn đến việc cầu Horizon của chúng tôi bị thủng - Tiền đã bị đánh cắp từ phía Ethereum của cây cầu. Bảo mật là chìa khóa để duy trì tính toàn vẹn như một phần của cuộc điều tra đang diễn ra này - Việc bỏ qua các chi tiết cụ thể là để bảo vệ dữ liệu nhạy cảm vì lợi ích của cộng đồng của chúng tôi ”.

Trong một tweet sau đó, công ty tuyên bố rằng sẽ tặng thưởng 1 triệu USD cho bất kỳ ai cung cấp tin tức hữu ích trong việc khôi phục số tiền bị tin tặc đánh cắp.

Harmony, được ra mắt thông qua Binance Launchpad thông qua Initial Exchange Offer (IEO), đã thu về 23 triệu USD vào tháng 5 năm 2019. Và ba năm sau khi ra mắt, Harmony đang sở hữu tổng vốn hóa thị trường khoảng 1.5 tỷ USD. Mã thông báo gốc của Harmony được gọi là ONE và được sử dụng cho phí giao dịch, đặt cược và quản trị, cho phép chủ sở hữu tham gia vào các quyết định về tương lai của mạng.

Đánh giá bài viết này

5/5 - (3 Bình chọn)

Tin khác:

- Chỉ báo MACD là gì? Hướng dẫn cách dùng chỉ báo MACD từ A đến Z

- Tether ra mắt Stablecoin được gắn với đồng bảng Anh

Danh sách bài viết được xem nhiều