Harmony ha sospeso le operazioni del ponte sfruttato e ha informato le autorità dell’hacking.
La rete blockchain di livello 1 Harmony Protocol (ONE) ha dichiarato il 24 giugno che un hacker ha sfruttato il suo ponte Horizon e che sono stati rubati circa 100 milioni di dollari di token sul ponte.
1/ Il team Harmony ha identificato un furto avvenuto questa mattina sul ponte Horizon per un valore di circa 100 milioni di dollari. Abbiamo iniziato a collaborare con le autorità nazionali e gli specialisti forensi per identificare il colpevole e recuperare i fondi rubati.
Altro
– Harmony (@harmonyprotocol) 23 giugno 2022
L’attacco è uno dei più grandi delle ultime settimane. Harmony ha dichiarato di aver iniziato a “collaborare con le autorità nazionali e gli specialisti forensi per identificare il colpevole e recuperare i fondi rubati”.
Il team ha aggiunto che l’exploit non ha colpito il ponte Bitcoin (BTC), privo di fiducia, e che i beni conservati nei caveau decentralizzati rimangono al sicuro.
Il ponte Horizon collega il protocollo Harmony con altre reti come Ethereum e Binance Smart Chain, consentendo il trasferimento di criptovalute, stablecoin e NFT tra la blockchain Harmony e la rete.
Harmony è stata avvertita della vulnerabilità
Ad aprile, lo sviluppatore e ricercatore di blockchain Ape Dev ha avvertito della debolezza della sicurezza di Harmony. Hanno previsto che un malintenzionato avrebbe potuto sfruttarla in un attacco che avrebbe potuto portare a perdite fino a 330 milioni di dollari.
La sicurezza del ponte è attualmente basata su un portafoglio multisig distribuito all’indirizzo 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Ha quattro proprietari, due dei quali sono tenuti a dare il loro consenso per eseguire una transazione arbitraria (cioè prosciugare i 330 milioni di dollari). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) 1 aprile 2022
Secondo le informazioni disponibili, l’aggressore ha spostato i fondi in 12 transazioni utilizzando tre indirizzi di attacco. Di conseguenza, ha potuto spostare fondi in token come ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD e AAG.
L’aggressore è riuscito a ottenere il controllo del MultiSigWallet e ha confermato le transazioni per trasferire direttamente i fondi rubati.
Il ponte Horizon del protocollo Harmony è stato violato e 100 milioni di dollari sono stati drenati oggi.
Il ponte era essenzialmente un 2 di 5 multisig. Se due indirizzi qualsiasi gli dicevano di trasferire fondi a qualcuno, lo faceva.
L’hacker ha compromesso 2 indirizzi e ha fatto in modo che prosciugassero il denaro. pic.twitter.com/hv1JWDy9WQ
– Mudit Gupta (@Mudit__Gupta) 24 giugno 2022
M Mentre l’identità dell’hacker rimane sconosciuta, il fatto che il team di Harmony avrebbe potuto prevenire l’attacco solleverà dubbi sulla sua sicurezza tra la comunità crittografica.
Al momento della stampa, la maggior parte dei token rubati si trovava ancora nel portafoglio dell’aggressore. Tuttavia, l’attaccante ha iniziato a convertire i fondi rubati in ETH attraverso Uniswap.
L’exploiter del bridge @harmonyprotocol 0x0d04…ed00 ha rubato 11 diversi token erc-20 e 13.100 Ether dal bridge.
Hanno poi trasferito altri token erc-20 in altri due portafogli per scambiarli tramite uniswap e altri dex per tornare a eth e infine a 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
– MistTrack️ (@MistTrack_io) June 24, 2022