Harmony suspendeu as operações da ponte explorada e informou as autoridades sobre o hack.
Layer-1 Blockchain Network Harmony Protocol (ONE) disse em 24 de Junho que um hacker explorou a sua ponte de horizonte, e cerca de 100 milhões de dólares de fichas na ponte foram roubados.
1/ A equipa Harmony identificou um roubo que ocorreu esta manhã na ponte Horizon no valor de aproximadamente $100MM. Começámos a trabalhar com as autoridades nacionais e especialistas forenses para identificar o culpado e recuperar os fundos roubados.
Mais
– Harmony (@harmonyprotocolo) Junho 23, 2022
O ataque é um dos maiores das últimas semanas. Harmony disse que começou “a trabalhar com autoridades nacionais e especialistas forenses para identificar o culpado e recuperar os fundos roubados”.
A equipa acrescentou que a exploração não afectou a ponte Bitcoin (BTC) sem confiança, e os bens armazenados em cofres descentralizados permanecem seguros.
A ponte Horizon liga o protocolo Harmony a outras redes, tais como Ethereum e Binance Smart Chain, permitindo as transferências de moedas criptográficas, moedas estáveis, e NFTs entre a cadeia de bloqueio Harmony e a rede.
Harmony foi avisado da vulnerabilidade
Em Abril, o programador e investigador de cadeias de bloqueio Ape Dev alertou para a fraca segurança da Harmony. Previam que uma parte maliciosa poderia explorá-la num ataque que poderia levar a perdas de até $330 milhões.
A segurança da ponte está actualmente baseada numa carteira de multisig em 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Tem quatro proprietários, dois dos quais são obrigados a consentir a fim de executar uma transacção arbitrária (ou seja, drenar os $330m). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) 1 de Abril de 2022
De acordo com a informação disponível, o atacante moveu os fundos em 12 transacções utilizando três endereços de ataque. Como resultado, poderiam mover os fundos para fichas como ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD, e AAG.
O atacante conseguiu obter o controlo da MultiSigWallet e confirmou as transacções para transferir directamente os fundos roubados.
Harmony Protocol’s Horizon Bridge foi invadida e 100 milhões de dólares foram drenados hoje cedo.
A ponte era essencialmente um 2 de 5 multisig. Se qualquer 2 endereços lhe disseram para transferir fundos para alguém, foi o que aconteceu.
O hacker comprometeu 2 endereços e obrigou-os a drenar o dinheiro. pic.twitter.com/hv1JWDy9WQ
– Mudit Gupta (@Mudit__Gupta) Junho 24, 2022
Embora a identidade do hacker continue desconhecida, o facto de que a equipa Harmony poderia ter impedido o ataque levantará questões sobre a sua segurança entre a comunidade criptográfica.
A maioria das fichas roubadas ainda se encontravam na carteira do atacante a partir do momento em que a imprensa as publicou. No entanto, o atacante começou a converter os fundos roubados em ETH através da Uniswap.
O @harmonyprotocolo explorador de ponte 0x0d04…ed00 roubou 11 fichas erc-20 diferentes e 13,100 Éter da ponte.
Depois transferiram outras fichas erc-20 para duas outras carteiras para trocar via uniswap e outras dexs de volta para eth, e finalmente de volta para 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
– MistTrack️ (@MistTrack_io) Junho 24, 2022
