Estafas

Puente cross chain de Harmony ha sido hackeado por $100 millones

CryptoBriefing
Escrito por CryptoBriefing 24.06.2022 4 min de lectura
Puente cross chain de Harmony ha sido hackeado por $100 millones

El equipo de Harmony notificó a las autoridades policiales y está trabajando con especialistas forenses para identificar al atacante y recuperar los fondos robados.

El equipo de Harmony ha confirmado que el puente Horizon ha sido explotado por aproximadamente $100 millones en varios tokens.

Harmony Bridge pierde $100 millones

Harmony, una cadena de bloques de prueba de participación compatible con EVM, ha tenido su puente de cadena cruzada Horizon explotado en una importante brecha de seguridad.

El equipo de Harmony confirmó en una publicación de Twitter el viernes por la mañana que Horizon, el puente que conecta la red de Harmony con BNB Chain y Ethereum, había sido explotado por alrededor de $100 millones en varios tokens. “El equipo de Harmony ha identificado un robo ocurrido esta mañana en el puente Horizon por un monto de aprox. 100 millones de dólares”, dijo una publicación de la cuenta oficial de Twitter de Harmony, y agregó que ya está trabajando con las autoridades nacionales y expertos forenses para identificar al atacante y potencialmente recuperar los fondos robados.

Según los datos de la cadena, el exploit comenzó alrededor de las 12:02 UTC del jueves y duró aproximadamente 15 horas. El atacante ejecutó 16 transacciones maliciosas de varios tamaños, desde 14,190 hasta 30 ETH antes de que el equipo de Harmony notara el ataque y detuviera el puente Horizon para evitar más transacciones maliciosas. Después de robar aproximadamente $100 millones en varios tokens, incluidos Frax, Frax Shares, Ethereum envuelto, Bitcoin envuelto, Aave, Sushi, Tether y Binance USD, el atacante los envió a diferentes billeteras, los cambió por Ethereum en el intercambio descentralizado Uniswap, y luego transfirió los fondos robados a la billetera de origen.

Poco común para este tipo de exploits, el atacante aún no ha intentado anonimizar los fondos robados a través de un protocolo de privacidad como Tornado Cash. En un tuit de seguimiento, el equipo de Harmony declaró que está trabajando con la Oficina Federal de Investigaciones y varias empresas de seguridad cibernética para rastrear e identificar al atacante. La participación de las autoridades de EE. UU. significa que existe la posibilidad de que la Oficina de Control de Activos Extranjeros agregue la billetera del atacante a su lista negra de direcciones sancionadas, impidiéndole efectivamente lavar los fondos robados a través de Tornado Cash.

Si bien Harmony aún no ha compartido detalles específicos sobre cómo ocurrió el exploit, los expertos en seguridad de blockchain han especulado que el atacante probablemente obtuvo acceso a al menos dos de las cinco claves privadas de la billetera de múltiples firmas que controlan los contratos inteligentes del puente Horizon. Este vector de ataque ya fue destacado en abril por Ape Dev, el fundador seudónimo de la firma de riesgo enfocada en criptografía Chainstride Capital. Dijeron que habían investigado el puente Harmony en Ethereum y descubrieron que si dos de los cuatro firmantes multigrado están comprometidos, vamos a ver otro truco de 9 cifras, que parece ser precisamente lo que sucedió ayer.

Mudit Gupta, director de seguridad de la información de Polygon, comentó que no se trataba de un pirateo de cadena de bloques sino de un pirateo tradicional, y especuló que el atacante probablemente comprometió los servidores que alojan las claves de la billetera de firmas múltiples de Horizon. “Una vez dentro del servidor, podían acceder a las claves que se guardaban en texto sin formato para firmar transacciones legítimas”, dijo, y agregó que el exploit es “inquietantemente similar” al exploit Ronin Network de $551.8 millones de Axie Infinity de marzo. En abril, el Departamento del Tesoro de EE. UU. confirmó que el grupo de ciberdelincuencia patrocinado por el estado de Corea del Norte, conocido como Lazarus Group, estaba detrás de la explotación de Ronin Network.

Harmony declaró que su puente de Bitcoin sin confianza no se vio afectado por el exploit y que continuaría actualizando al público con nueva información a medida que llegara.