价值近一亿美元，Harmony巨额加密货币资产失窃

币圈吴彦祖 • 2022年6月29日 pm3:00 • 币圈新闻 • 阅读 15

编辑：左右里

前几日，有黑客从区块链公司Harmony窃取了价值近一亿美元的加密货币。事情发生后，Harmony承诺，若攻击者归还资金并分享漏洞利用信息，将提供100万美元的赏金，并表示不会提出刑事指控。

Harmony的事件响应团队宣布，它没有发现任何关于公司智能合约代码的违规行为或平台漏洞的迹象。Harmony表示Harmony区块链的共识层仍然是安全的。

经调查，事件响应团队发现了私钥被泄露的证据。攻击者通过以某种方式控制MultiSigWallet的所有者直接调用confirmTransaction（）从Harmony转移了大量代币（包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX，价值从49178美元到41200000美元不等），导致Harmony链上总共损失了价值约9700万美元的资产。最后，所有资产都被交易到以太坊，目前仍保留在以太坊网络上的攻击者帐户中。攻击者目前尚未采取任何措施来清洗这些资产。

区块链安全公司Certik发布了对这一事件的详细分析，它证实攻击者能够控制multiSig钱包所有者的权限，然后从Harmony中窃取资金。

Certik以涉及13100枚ETH的第一个漏洞利用交易为例。

1、MultiSigWallet 合约的所有者调用 submitTransaction（）函数来提交具有以下有效负载的交易，生成交易ID 21106。