“Harmony Protocol” Proof-of-stake (PoS) blockchain telah men-tweet tawaran hadiah $ 1 juta untuk informasi mengenai peretasan pada hari Kamis kemarin, peretasan tersebut terjadi di bridge Horizon yang terhubung dengan Ethereum, yang mengakibatkan hilangnya $ 100 juta dalam cryptocurrency.
“Kami berkomitmen menghadiahkan $ 1 juta untuk pengembalian dana bridge Horizon dan berbagi informasi eksploitasi. Hubungi kami di [email protected] atau alamat ETH 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac. Harmony akan mengadvokasi tanpa tuntutan pidana ketika dana dikembalikan.”
Stephen Tse, CEO, dan pendiri Harmony Protocol menyatakan di Twitter bahwa lapisan konsensus blockchain Harmony aman, tidak ada indikasi bahwa platform Horizon rentan.
“Tanggapan insiden tidak menemukan bukti pelanggaran kode kontrak pintar. Tidak ada bukti kerentanan pada platform Horizon yang ditemukan. Lapisan konsensus kami dari blockchain Harmony tetap aman.”
Para profesional keamanan pada hari Jumat memberikan beberapa wawasan tentang penyusupan tersebut sementara tim Harmony masih melakukan penyelidikan mereka. Menggunakan dua alamat pribadi yang kemungkinan dikompromikan, penyerang mengambil kendali dompet multi-tanda tangan yang digunakan untuk menyebarkan jembatan Harmony, klaim kepala petugas keamanan informasi Polygon, Mudit Gupta, dan menghabiskan uangnya.
Menurut Tse, timnya telah menemukan bukti bahwa kunci pribadi telah disusupi, yang mengakibatkan rusaknya jembatan Horizon.
“Tim telah menemukan bukti bahwa kunci pribadi telah disusupi, yang mengarah pada pelanggaran bridge Horizon kami. Dana dicuri dari sisi Ethereum bridge.”
Dia lebih lanjut menyatakan bahwa “Kunci pribadi disimpan dienkripsi oleh Harmony. Kunci ini dienkripsi ganda menggunakan frasa sandi dan layanan manajemen kunci. Tidak ada satu mesin pun yang memiliki akses ke beberapa kunci plaintext. Sistem ini dirancang untuk menghindari penyimpanan terus-menerus dari rahasia plaintext saat istirahat.”
Sesuai Tse, penyerang mengakses dan mendekripsi beberapa kunci yang disimpan ini dan melakukan transaksi. Semua aset yang dicuri ditukar ke Ethereum dan disimpan di dompet pelaku. “Penyerang dapat mengakses dan mendekripsi sejumlah kunci ini, beberapa di antaranya digunakan untuk menandatangani transaksi yang tidak sah. Aset yang dicuri termasuk BUSD, USDC, ETH, dan WBTC.”