Harmony saldırısında her yol çoklu imza cüzdanına çıkıyor!
Bir proof of stake 1. katman blok zinciri olan Harmony’nin Ethereum bağlantısı sağlayan Horizon köprüsünün hack’lenmesi ve 100 milyon dolarlık hırsızlık yapılması günün en çok konuşulan haberi oldu. İçinde ETH, BNB, USDC ve DAI’nin olduğu birçok varlık çalınırken, bu varlıkların Ethereum ve Harmony arasındaki bağlantısı ise Horizon köprüsü vasıtasıyla sağlanıyordu.
“Çoklu imza cüzdanları ele geçirildi”
Harmony’den ilk etapta yapılan açıklamada ABD güvenlik kurumları ve çeşitli siber güvenlik şirketleriyle irtibat halinde olunduğu belirtilmişti ancak dün akşamki açıklamanın ardından ise hala fazladan bir bilgi akışı sağlanmış değil. Harmony, hack olayının ne şekilde yapıldığı konusunda herhangi bir blgi vermezken, konunun uzmanları ise olayın ardından, varlıkların Harmony köprüsüne yüklenmesini sağlayan çoklu imza cüzdanlarının, hacker’lar tarafından ele geçirilmiş olabileceğini belirtiyorlar.
Bilindiği üzere çoklu imza cüzdanları, kontrolün tek bir kişi ya da kurumda olmasına izin vermeyen ve anahtar kelimelerin birçok kişiye yayılmasını sağlayan akıllı sözleşme hesapları olarak görev yapıyorlar.
“5 anahtarın ikisini ele geçirirse…”
Polygon’un baş güvenlik yöneticisi olan Mudit Gupta, çoklu imza cüzdanlarının ele geçirilme olasılığının çok yüksek olduğunu söylerken, köprü cüzdanının fonlarının toplam beş özel anahtarın en az ikisinden izin gerektirdiğini, bu nedenle hacker’ın iki özel anahtarı elde edip kontrolü ele geçirmiş olabileceği yorumunu yaptı:
“Hacker, iki adrese, fonları başka birine yollama talimatı verdiyse, bu direkt olarak yerine getirilir. 2 adres ele geçirilmiş ve daha sonra fonların çekilmiş olma ihtimali çok yüksek…”
Akıllı kontrat güvenlik firması olan Certik de, Gupta’yla aynı fikirdeydi. Şirket, olayla ilgili yazdığı raporda, çoklu imza cüzdanlarının üzerindeki kontrolü ele geçirilip, büyük miktarda token’ın köprüden çekilme emri verilmiş olabileceğini belirtti.