Horizon跨鏈橋1億鎂駭案》1.8萬枚ETH贓款已全數匯入Tornado，ONE跌至新低

公鏈 Harmony 與以太坊的跨鏈橋「Horizon」遭駭客竊走 1 億鎂資產後，攻擊者從昨日起陸續將 1.8 萬枚 ETH 匯出到混幣器 Tornado Cash。社群憂資產已難以追回，希望官方提出替代方案、ONE 也跌至一年半以來新低。
（前情提要：Horizon 攻擊者轉出1.8萬顆ETH、Harmony祭100萬美元歸還賞金）
（背景補充：加密駭客攻擊解析｜資產放在這些賽道和 DeFi 裡可能最危險！）

本文目錄

上週五（24 日）公鏈 Harmony 與以太坊之間的跨鏈橋「Horizon」遭到駭客攻擊損失約 1 億美元。據悉，被標記為攻擊者的地址從昨（27）日下午將 18036.3 顆以太幣轉出到三個匿名錢包後，開始大量轉移資金到混幣器 Tornado Cash 。

Xnip2022-06-28_11-34-23 | 動區動趨-最具影響力的區塊鏈新聞媒體 — 將 18036.3 顆以太幣轉出到三個匿名錢包

Etherscan 數據顯示，接收到以太幣的三個地址，從昨日下午起就陸續以每筆交易 100 顆以太幣的規模轉出至 Tornado，截稿前已完成 180 多筆交易，1.8 萬枚的 ETH 已全數轉出，目前三個錢包中的資產僅剩約 10 枚 ETH。

Xnip2022-06-28_11-38-49 | 動區動趨-最具影響力的區塊鏈新聞媒體 — 仍在持續轉出 ETH

官方回應正全力調查，社群想知道「替代方案」

Harmony 官方也在今（28）日稍早發推表示，團隊知道攻擊者已開始通過 Tornado Cash 轉移資金，我們正與兩個區塊鏈追蹤、分析公司以及 FBI 合作進行全面調查、並表態仍願意與攻擊者進行談判。

稍早 Harmony 曾在 26 日宣布：若攻擊者返還盜竊資金、並提供漏洞資訊，將提供 100 萬美元賞金，並承諾不會提出刑事指控；然而現在駭客已將大量資金發送到混幣器，看來談判的機率微乎其微…多數的社群用戶其實也明白這點，所以他們當前更希望知悉的是如果資金真的無法追回，Harmony 這邊有什麼替代方案、損失的資產將如何彌補？

What's the real plan though? That money is gone and very unlikely to be recovered. What are you actually going to do about that? Is that confidential or do you just not have a plan?

— superfluid (@degenpressure) June 28, 2022

跨鏈橋遭攻擊的原因

至於針對整起攻擊事件發生的原因，Harmony 創辦人 Stephen Tse 在 26 日發布一系列推文說明攻擊原因，他指出，Horizon 上沒有發現任何有智能合約漏洞的證據，Harmony 區塊鏈共識層是安全的，但團隊發現了私鑰被泄露的證據，導致 Horizon 被攻擊，資金從跨鏈橋的以太坊一側被盜。

3/ The team has found evidence that private keys were compromised, leading to the breach of our Horizon bridge. Funds were stolen from the Ethereum side of the bridge.

— stephen tse 💙 s.one 🌉 stse.eth (@stse) June 26, 2022

Stephen Tse 指出，攻擊者有能力訪問和解密其中一些私鑰，其中一些用於簽署未經授權交易，被盜資產包括 BUSD、USDC、ETH 和 WBTC，所有被盜資產都被換成了 ETH 。

提及事故發生後的改進措施，Stephen Tse 最後表示，該團隊已將 Horizon 跨鏈橋的以太坊一側遷移至 5 人中需 4 人簽署的多重簽名合約，並承諾將繼續採取措施，進一步加強營運和基礎設施安全。

8/ To reiterate, we are in the middle of an ongoing investigation. We will continue to keep everyone up-to-date and appreciate your patience and support.

— stephen tse 💙 s.one 🌉 stse.eth (@stse) June 26, 2022