Harmony heeft de operaties van de uitgebuite brug opgeschort en heeft de autoriteiten geïnformeerd over de hack.
Layer-1 blockchain netwerk Harmony Protocol (ONE) zei op 24 juni dat een hacker zijn horizon bridge heeft uitgebuit, en ruwweg $100 miljoen aan tokens op de bridge zijn gestolen.
1/ Het Harmony team heeft vastgesteld dat er vanochtend een diefstal heeft plaatsgevonden op de Horizon brug ter waarde van ongeveer $100MM. We werken samen met de nationale autoriteiten en forensische specialisten om de dader te identificeren en het gestolen geld terug te krijgen.
Meer
– Harmony (@harmonyprotocol) Juni 23, 2022
De aanval is een van de grootste van de afgelopen weken. Harmony zei dat het “is gaan samenwerken met nationale autoriteiten en forensische specialisten om de dader te identificeren en de gestolen fondsen terug te halen.”
Het team voegde eraan toe dat de exploit geen invloed had op de trustless Bitcoin (BTC) Bridge, en activa die zijn opgeslagen in gedecentraliseerde kluizen blijven veilig.
De Horizon-brug verbindt het Harmony-protocol met andere netwerken zoals Ethereum en Binance Smart Chain, waardoor de overdracht van cryptocurrencies, stablecoins, en NFT’s tussen de Harmony-blockchain en het netwerk mogelijk wordt.
Harmony was gewaarschuwd voor de kwetsbaarheid
In april waarschuwde blockchain-ontwikkelaar en onderzoeker Ape Dev voor de zwakke beveiliging van Harmony. Ze voorspelden dat een kwaadwillende het zou kunnen uitbuiten in een aanval die zou kunnen leiden tot verliezen tot $330 miljoen.
De beveiliging van de brug is momenteel gebaseerd op een multisig portemonnee die is ingezet op 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Het heeft vier eigenaars, waarvan er twee toestemming moeten geven om een willekeurige transactie uit te voeren (d.w.z. de $330m leeg te halen). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) April 1, 2022
Volgens de beschikbare informatie verplaatste de aanvaller het geld in 12 transacties met drie aanvalsadressen. Als gevolg daarvan konden ze fondsen verplaatsen naar tokens zoals ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD, en AAG.
De aanvaller was in staat om controle te krijgen over de MultiSigWallet en bevestigde de transacties om de gestolen fondsen direct over te maken.
Harmony Protocol’s Horizon brug werd gehackt en $100 miljoen werd eerder vandaag weggesluisd.
De brug was in wezen een 2 van 5 multisig. Als 2 adressen zeiden dat het geld naar iemand moest overmaken, dan deed het dat.
De hacker compromitteerde 2 adressen en liet ze het geld wegsluizen. pic.twitter.com/hv1JWDy9WQ
– Mudit Gupta (@Mudit__Gupta) Juni 24, 2022
Hoewel de identiteit van de hacker onbekend blijft, zal het feit dat het Harmony-team de aanval had kunnen voorkomen, vragen oproepen over de veiligheid ervan bij de cryptogemeenschap.
Het merendeel van de gestolen tokens bevond zich bij het ter perse gaan nog steeds in de portemonnee van de aanvaller. De aanvaller is echter begonnen met het omzetten van de gestolen fondsen in ETH via Uniswap.
De @harmonyprotocol bruguitbuiter 0x0d04…ed00 stal 11 verschillende erc-20 tokens en 13.100 Ether van de brug.
Daarna brachten ze andere erc-20 tokens over naar twee andere wallets om te ruilen via uniswap en andere dexs terug naar eth, en uiteindelijk weer terug naar 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
– MistTrack️ (@MistTrack_io) Juni 24, 2022