Relatório de incidente de análise de exploração do protocolo Harbour

Prezada comunidade do Harbor

Os últimos dias foram testes para todos nós, como membros da equipe e da comunidade do protocolo Harbor. Gostaríamos de compartilhar com vocês uma atualização sobre o status de nossos esforços para rastrear o explorador e rastrear os fundos. Abaixo está um relatório de incidente sobre como a exploração foi realizada e quais ações planejamos tomar como equipe daqui para frente.

Gostaríamos também de aproveitar este momento para dar um agradecimento especial a Rarma, Ray Raspberry, Andres Monty, à equipe MEXC e à equipe Simpleswap que se esforçaram abnegadamente para fornecer seu conhecimento e assistência durante esse período. A sua dedicação altruísta durante a nossa hora de necessidade é um testemunho profundo do seu compromisso inabalável em servir e elevar a comunidade. Estamos profundamente gratos pela sua assistência oportuna e elogiamos o seu espírito de serviço comunitário.

A exploração:

O explorador manipulou os preços de três ativos colaterais, Luna, stOsmo e wMATIC no cSwap, que é um AMM baseado em Comdex. O explorador inflou os preços desses ativos no cSwap. O protocolo Harbour na cadeia Comdex, que é um protocolo para cunhar a stablecoin CMST, aceita Luna, stOsmo e wMATIC como garantia para cunhar a stablecoin CMST. A perda total da exploração é atualmente estimada em aproximadamente 250.000$.

O oráculo de Harbor estava usando o cSwap como uma das fontes de feeds de preços. O explorador inflou os preços e tomou emprestado o CMST destes três cofres de activos a preços de garantia mais elevados. Harbour tem um stablemint que funciona de forma semelhante ao PSM no Makerdao, essencialmente os usuários podem cunhar CMST 1:1 com o stablemint usando outras stablecoins. Ele usou o CMST emprestado para trocá-lo 1:1 pelo axl.USDC do stablemint ou trocar o CMST por stablecoins no Crescent.

Após o último incidente da Oracle, reconhecemos a necessidade de certas mudanças que exigiriam uma atualização em cadeia. Enquanto aguardamos o momento apropriado para esta atualização, continuamos a contar com o cSwap como uma das fontes de feeds de preços. Este acabou sendo o ponto de vulnerabilidade que o explorador aproveitou.

A exploração foi realizada principalmente por dois endereços Comdex:

1- As explorações dos cofres wMATIC e stOSMO foram feitas com o seguinte endereço: https://www.mintscan.io/comdex/accounts/comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5

2- A exploração do Luna vault foi feita com o seguinte endereço:

https://www.mintscan.io/comdex/accounts/comdex1y70akwhauhxaxf5fl70qk3t76c84ulmsff8j9g

Folha detalhada do token IBC IN e OUT de ambos os endereços durante a exploração:

https://docs.google.com/spreadsheets/d/1RVPYb9V7D8nMq24LrszXniFmBmJZAOr6DD1T6CHlWqQ/edit?usp=sharing

Continuação Ref 1.

O explorador pegou emprestado o CMST dos cofres wMatic e stOsmo em Harbor. Posteriormente transferiu o CMST para um endereço Crescent. No Crescent, o CMST foi trocado por axl.USDC em pequenos lotes.

Endereço da Crescente Associada:

https://www.mintscan.io/crescent/accounts/cre1sma0ntw7fq3fpux8suxkm9h8y642fuqtvmrf8w

O axl.USDC foi então transferido para um endereço de Osmose:

https://www.mintscan.io/osmosis/accounts/osmo1sma0ntw7fq3fpux8suxkm9h8y642fuqtqgruy3

Um dos links txn:

https://axelarscan.io/transfer/12A5AA88F24B347CFBEC19A2F7F431B32627B686DD8A4D84D93B228B51484EF7

Um dos links txn: A partir deste endereço Osmose, a maior parte dos fundos foi enviada para o endereço da rede secreta:

https://www.mintscan.io/secret/account/secret1tdfqfeqtc5494mrf4hvpm38084x7t8tn7utjgl

Lista de transferência de token do endereço:

https://axelarscan.io/address/osmo1sma0ntw7fq3fpux8suxkm9h8y642fuqtqgruy3?tab=token_transfers

A Cadeia Secreta é uma blockchain habilitada para privacidade, uma vez que os fundos entram no Secret, eles se tornam indetectáveis. As duas transações em que os fundos foram enviados para o Polygon acabaram em uma conta nula.

Referência 2.

Trilha de exploração do cofre Luna:

A carteira foi inicialmente financiada com o endereço Osmosis:

https://www.mintscan.io/osmosis/accounts/osmo1y70akwhauhxaxf5fl70qk3t76c84ulmsxakq2d

Carteira Terra usada para financiar:

https://chainsco.pe/terra2/address/terra1z4j50ht84x6t95cygx6hvqrpundd5crk7e3ywr?page=2

O explorador então manipulou o preço de Luna no cSwap e retirou o CMST dos cofres.

Enviou CMST para Crescent e trocou para axl.USDC do pool.

Carteira Crescent associada:

https://www.mintscan.io/crescent/accounts/cre1y70akwhauhxaxf5fl70qk3t76c84ulms2wk4fj

O axl.USDC da Crescent é então enviado para a carteira Osmosis que foi inicialmente usada

https://axelarscan.io/transfer/D49E4CFA301A1364A5995023FFD67B27713DDDAE43779880D1B5948A77C0D8DF

A carteira Osmosis então envia o axlUSDC para o Secret.

https://axelarscan.io/transfer/18C7E162F25616E76F364ADC3E05F784F14798DCFA62FCD1A6AAA47C2725C440

Endereço da carteira secreta:

https://www.mintscan.io/secret/accounts/secret1uyys3cmv0w2lg7v8vk9e0wjap883mxc0cg8xlu

Após uma investigação mais aprofundada da carteira Osmosis, identificamos uma transferência axl.USDT da rede principal ETH em 29 de julho via Axelar.

https://axelarscan.io/transfer/9DB3C064563CBE8314F85058E6D9228F02E97133605B4A3B87D68FE259EF6078

Endereço ETH usado para depositar axl.USDT:

0xE74e4dA80f0799f99AF5E2B5E01190065A7C8e49

O endereço ETH contém a maior parte dos fundos enviados para a rede Secret, mas possui alguns txs conectados vinculados ao MEXC e Simpleswap que são endereços CEX.

O endereço ETH tem algumas transferências para MEXC. Abaixo estão os links de transferência:

• https://etherscan.io/tx/0xcee58ed93579ff68c65ce0451c395dcf40b2c385b2b9da752ca05502d9475aaf
• https://etherscan.io/tx/0x9974c01da1ec97a2cab031238f82034cfc80a5688b4cd4a9a368849b0b22a7e7
• https://etherscan.io/tx/0xe1e0e14c0c896e6d20451a36c54fd872aec32767edaf573cfab00e274d34a18e
• https://etherscan.io/tx/0x0a9a482ee946f9c1f1da033ca6ad89df94f57dd46763f34f41d1862b1fe739ff

Txns vinculados ao Simpleswap na rede principal da ETH:

• https://etherscan.io/tx/0xed17ec731619c52aaefdcb84483f07f8a5c593ccb51bdfc81671c9cda4e01324
• Foi uma troca ATOM-ETH no Simpleswap:

https://atomscan.com/transactions/FED546F7729985232D33859B6CEF931027D501023CF0488A959D81CD61EF2091

O invasor aproveitou a rede Secreta para desviar os fundos, tornando difícil rastreá-los após a transição para a rede Secreta. Entramos em contato com MEXC e Simpleswap para identificar o autor do crime e resolver a situação.

Este incidente destaca o processo intrincado e de várias etapas utilizado pelo explorador, abrangendo vários protocolos e blockchains, para mascarar e movimentar os fundos explorados.

Atualização sobre reembolsos de liquidação stATOM

Os reembolsos do cofre stATOM foram definidos para serem liberados na próxima atualização da cadeia. Porém, para facilitar a transferência do CMST do coletor para os usuários impactados, é necessária uma atualização da cadeia. Estávamos aguardando o momento da atualização em cadeia, onde várias atualizações podem ser implementadas ao mesmo tempo durante uma única atualização em cadeia.

No entanto, desafios recentes surgiram devido à situação atual. Ainda estamos comprometidos em cumprir essa promessa em nossa próxima atualização de cadeia e torná-la completa.

Próximos passos

Devido à ajuda altruísta fornecida pelos membros da comunidade, conseguimos restringir a pesquisa a alguns endereços de carteiras.

Não conseguindo ouvir diretamente os exploradores, começámos a persegui-los através de uma via legal envolvendo as autoridades, que trabalharão em estreita colaboração com a MEXC e a Simpleswap para ajudar a localizar os fundos.

Mais uma vez, fizemos vários sacrifícios e travamos inúmeras batalhas para colocar o protocolo Harbour onde está. Estamos totalmente empenhados em fazer tudo o que podemos para rastrear o explorador e rastrear os fundos.

Continuaremos compartilhando atualizações sobre nosso progresso nesta jornada e estaremos sempre abertos a toda e qualquer ajuda que a comunidade possa estar disposta a oferecer neste momento.