Hacker Harmony đã nắm quyền kiểm soát ví đa chữ ký?

Ngày 23/6, hacker ẩn danh đã cuỗm mất nhiều tài sản, bao gồm ETH, BNB, USDT, USDC và DAI. Điều này được tiết lộ thông qua chuỗi tweet của dự án Harmony.

Những tài sản này liên quan đến cầu nối với Ethereum đến blockchain Harmony thông qua Horizon.

Harmony cho biết họ đang làm việc với nhà chức trách quốc gia và các chuyên gia pháp lý để xác định thủ phạm, lấy lại số tiền bị đánh cắp. Tuy nhiên, nhóm nghiên cứu không giải thích cách thức hack diễn ra như thế nào.

Mặc dù các nhà phát triển của Harmony vẫn chưa đưa ra kết quả chính thức. Nhưng các chuyên gia bảo mật đã đưa ra một số thông tin chi tiết về vụ hack. Theo Mudit Gupta - giám đốc an ninh thông tin của Polygon, thủ phạm đã giành được quyền kiểm soát ví đa chữ ký được sử dụng trong việc triển khai cầu nối của Harmony.

Theo đó, ví đa chữ ký là một tài khoản hợp đồng thông minh được quản lý bằng nhiều private key, được chia cho các tài khoản khác nhau chứ không phải cho một người duy nhất. 

Gupta phát hiện ra rằng số tiền của cầu nối Horion yêu cầu sự cho phép từ ít nhất hai trong tổng số năm private key. Vì vậy, hung thủ có thể đã nắm được 2 private key và giành được quyền kiểm soát.

Ngoài ra, ngày 24/6, Certik - công ty bảo mật hợp đồng thông minh đã đưa ra bằng chứng rằng hacker đã nhắm mục tiêu vào ví đa chữ ký của cầu nối. Trong báo cáo, Certik cho biết: "Kẻ tấn công đã thực hiện khai thác bằng cách điều khiển chủ sở hữu của ví đa chữ ký để chuyển một lượng lớn token từ cầu nối trên Harmony." 

Như vậy, đây chỉ là phân tích và dự đoán của Mudit Gupta và Certik. Đến tối ngày 24/6, các nhà phát triển của Harmony vẫn chưa đưa