Harmony a suspendu les opérations du pont exploité et a informé les autorités du piratage.
Le réseau blockchain de niveau 1 Harmony Protocol (ONE) a déclaré le 24 juin qu’un pirate informatique avait exploité son pont Horizon et qu’environ 100 millions de dollars de jetons sur ce pont avaient été volés.
1/ L’équipe Harmony a identifié un vol survenu ce matin sur le pont Horizon d’une valeur d’environ 100 millions de dollars. Nous avons commencé à travailler avec les autorités nationales et les spécialistes de la police scientifique pour identifier le coupable et récupérer les fonds volés.
More
– Harmony (@harmonyprotocol) June 23, 2022
L’attaque est l’une des plus importantes de ces dernières semaines. Harmony a déclaré avoir commencé à « travailler avec les autorités nationales et des spécialistes de la médecine légale pour identifier le coupable et récupérer les fonds volés. »
L’équipe a ajouté que l’exploit n’a pas affecté le pont Bitcoin (BTC) sans confiance, et que les actifs stockés dans des coffres-forts décentralisés restent en sécurité.
Le pont Horizon connecte le protocole Harmony avec d’autres réseaux tels qu’Ethereum et Binance Smart Chain, permettant les transferts de crypto-monnaies, de stablecoins et de NFT entre la blockchain Harmony et le réseau.
Harmony a été averti de la vulnérabilité
En avril, le développeur de blockchain et chercheur Ape Dev a mis en garde contre la faiblesse de la sécurité d’Harmony. Ils ont prédit qu’une partie malveillante pourrait l’exploiter dans une attaque qui pourrait entraîner des pertes allant jusqu’à 330 millions de dollars.
La sécurité du pont repose actuellement sur un portefeuille multisig déployé à 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Il a quatre propriétaires, dont deux doivent donner leur accord pour exécuter une transaction arbitraire (c’est-à-dire drainer les 330 millions de dollars). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) April 1, 2022
Selon les informations disponibles, l’attaquant a transféré les fonds en 12 transactions en utilisant trois adresses d’attaque. Il a ainsi pu déplacer des fonds vers des jetons tels que ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD et AAG.
L’attaquant a pu prendre le contrôle du MultiSigWallet et confirmer les transactions pour transférer directement les fonds volés.
Le pont Horizon de Harmony Protocol a été piraté et 100 millions de dollars ont été drainés plus tôt dans la journée.
Le pont était essentiellement un 2 de 5 multisig. Si 2 adresses lui demandaient de transférer des fonds à quelqu’un, il le faisait.
Le pirate a compromis 2 adresses et leur a fait drainer l’argent. pic.twitter.com/hv1JWDy9WQ
– Mudit Gupta (@Mudit__Gupta) June 24, 2022
Bien que l’identité du pirate reste inconnue, le fait que l’équipe d’Harmony aurait pu empêcher l’attaque soulève des questions sur sa sécurité au sein de la communauté cryptographique.
La plupart des jetons volés se trouvaient encore dans le portefeuille de l’attaquant au moment de la mise sous presse. Cependant, l’attaquant a commencé à convertir les fonds volés en ETH par le biais d’Uniswap.
Le pirate du pont @harmonyprotocol 0x0d04…ed00 a volé 11 jetons erc-20 différents et 13 100 Ether depuis le pont.
Ils ont ensuite transféré d’autres jetons erc-20 vers deux autres portefeuilles pour les échanger via uniswap et d’autres dexs vers eth, et enfin vers 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
– MistTrack️ (@MistTrack_io) June 24, 2022