被盜1億美元的Harmony 驗證者節點安全如何保障？_ACT:TRANS

Author：

Time：1900/1/1 0:00:00

2022年6月24日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊，損失金額約為1億美元。目前Harmony官方已通知交易所并暫停了Horizon跨鏈橋。成都鏈安安全團隊對此事件進行了分析，現與大家分享。

HarmonyBridge是一個跨鏈橋項目，由五個驗證者節點進行操作驗證，本次攻擊主要原因是由于兩個驗證者節點的私鑰疑似泄露，導致合約的confirmTransaction函數被成功調用。

ApeCoin新提案擬為以太坊社區提供100萬美元捐贈:4月16日消息，ApeCoin社區發起新提案AIP-230，旨在為以太坊社區提供100萬美元捐贈，其中包括向ETH Global捐贈30萬美元，以及向11場ApeCoin黑客松和至少5項公益活動贊助70萬美元。[2023/4/16 14:07:00]

#攻擊過程

攻擊者地址：

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

NFT市場Magic Eden將于2月1日執行新的動態忠誠度交易獎勵計劃:金色財經報道，據Magic Eden在社交媒體公布，該NFT市場將于2月 1 日執行新的動態忠誠度交易獎勵計劃，用戶在平臺上交易越多，獎勵越豐厚，費用折扣將會反映在 Rewards Hub中。每進行 1 SOL 交易，用戶將獲得 5 個 “Magic Points”積分，獎勵系統根據收集的積分點數分為 5 個級別：Level 1 – 5，每個級別都可以獲得相應的獎勵，如折扣和交易成本優惠，用戶可以使用多個錢包，只要他們通過藏家個人資料連接到 Magic Eden 平臺即可。[2023/1/31 11:38:19]

私鑰疑似泄露地址：

華為申請數字藏品商標:金色財經報道，華為技術有限公司申請注冊多枚“華為云寶”“華為云云寶”商標，國際分類涉及教育娛樂、廣告銷售等，當前商標狀態均為申請中。據悉，此前華為云推出以品牌形象IP“云寶”為基礎的數字藏品。[2023/1/28 11:33:24]

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

被攻擊合約：

0x715cdda5e9ad30a0ced14940f9997ee611496de6

世界黃金協會調查：四分之一受訪央行有意增持黃金:6月9日消息，世界黃金協會（WGC）周三（6月8日）公布了其年度央行調查報告。結果顯示，25%的受訪央行希望在未來12個月內增持黃金，并且這個數字出現了逐年增加的趨勢。報告還指出，今年也是連續第二年沒有央行希望減持黃金。（財聯社）[2022/6/9 4:12:09]

示例哈希：

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

被攻擊的transactionId:21106-21118(eth),120515-120518(bsc)

私鑰泄露地址0x812d......8f25地址調用了0x715c......6de6合約的confirmTransaction函數進行操作驗證，此處我們以被攻擊的transactionId：21107進行分析。