Conclusiones clave
- El puente de cadena cruzada Horizon de Harmony ha sido explotado por alrededor de $ 100 millones en varios tokens.
- El atacante ha vendido todos los fondos robados para Ethereum, pero los lavará a través de un protocolo de privacidad como Tornado Cash.
- Según los informes, el equipo de Harmony está trabajando con la Oficina Federal de Investigaciones y varias empresas de seguridad cibernética para identificar al atacante.
Comparte este artículo
El equipo de Harmony ha confirmado que el puente Horizon ha sido explotado por aproximadamente $100 millones en varios tokens.
Harmony Bridge Hit por $ 100 millones
Harmony, una cadena de bloques de prueba de participación compatible con EVM, ha tenido su puente de cadena cruzada Horizon explotado en una importante brecha de seguridad.
1/ El equipo de Harmony ha identificado un robo ocurrido esta mañana en el puente Horizon por un monto de aprox. $ 100 millones. Hemos comenzado a trabajar con las autoridades nacionales y especialistas forenses para identificar al culpable y recuperar los fondos robados.
Más 🧵
— Armonía 💙 (@harmonyprotocol) 23 de junio de 2022
El equipo de Harmony confirmó en una publicación de Twitter el viernes por la mañana que Horizon, el puente que conecta la red de Harmony con BNB Chain y Ethereum, había sido explotado por alrededor de $100 millones en varios tokens. “El equipo de Harmony ha identificado un robo ocurrido esta mañana en el puente Horizon por un monto de aprox. $ 100 millones”, dijo una publicación de la cuenta oficial de Twitter de Harmony, y agregó que ya está trabajando con las autoridades nacionales y expertos forenses para identificar al atacante y potencialmente recuperar los fondos robados.
Según los datos de la cadena, el exploit comenzó alrededor de las 12:02 UTC del jueves y duró aproximadamente 15 horas. El atacante ejecutó 16 transacciones maliciosas de varios tamaños, desde 14 190 hasta 30 ETH antes de que el equipo de Harmony notara el ataque y detuviera el puente Horizon para evitar más transacciones maliciosas. Después de robar aproximadamente $ 100 millones en varios tokens, incluidos Frax, Frax Shares, Ethereum envuelto, Bitcoin envuelto, Aave, Sushi, Tether y Binance USD, el atacante los envió a diferentes billeteras, los cambió por Ethereum en el intercambio descentralizado Uniswap, y luego transfirió los fondos robados al cartera de origen.
Poco común para este tipo de exploits, el atacante aún no ha intentado anonimizar los fondos robados a través de un protocolo de privacidad como Efectivo Tornado. En un tuit de seguimiento, el equipo de Harmony declaró que está trabajando con la Oficina Federal de Investigaciones y varias empresas de seguridad cibernética para rastrear e identificar al atacante. La participación de las autoridades estadounidenses significa que existe la posibilidad de que la Oficina de Control de Activos Extranjeros agregue la billetera del atacante a sus direcciones sancionadas. lista negraimpidiéndole efectivamente lavar los fondos robados a través de Tornado Cash.
Si bien Harmony aún no ha compartido detalles específicos sobre cómo ocurrió el exploit, los expertos en seguridad de blockchain han especulado que el atacante probablemente obtuvo acceso a al menos dos de las cinco claves privadas de la billetera de múltiples firmas que controlan los contratos inteligentes del puente Horizon. Este vector de ataque ya estaba resaltado en abril por Ape Dev, el seudónimo fundador de la firma de riesgo enfocada en criptomonedas Chainstride Capital. Dijeron que habían investigado el puente Harmony en Ethereum y descubrieron que “si dos de los cuatro firmantes multigrado están comprometidos, vamos a ver otro truco de 9 cifras”, que parece ser precisamente lo que sucedió ayer.
Mudit Gupta, director de seguridad de la información de Polygon, comentado que esto no fue un “hackeo de blockchain” sino un “hackeo tradicional”, y especuló que el atacante probablemente comprometió los servidores que alojan las claves de la billetera de firmas múltiples de Horizon. “Una vez dentro del servidor, podían acceder a las claves que se guardaban en texto sin formato para firmar transacciones legítimas”, dijo, y agregó que el exploit es “inquietantemente similar” al de $551,8 millones de Axie Infinity. Explotación de la red Ronin desde marzo. En abril, el Departamento del Tesoro de EE. confirmado que el grupo de ciberdelincuencia patrocinado por el estado de Corea del Norte conocido como Lazarus Group estaba detrás de la explotación de Ronin Network.
Harmony declaró que su puente de Bitcoin sin confianza no se vio afectado por el exploit y que continuaría actualizando al público con nueva información a medida que llegara.
Divulgación: en el momento de escribir este artículo, el autor de este artículo poseía ETH y varias otras criptomonedas.