Coin News

Hackerato l'Horizon Bridge di Harmony, rubati 100 milioni di dollari

24 Jun, 20223 min readBlockchain
Hackerato l'Horizon Bridge di Harmony, rubati 100 milioni di dollari

L'Horizon Bridge della blockchain Layer-1 Harmony è stato hackerato, portando al furto di 100 milioni di dollari in criptovalute. In passato, la community aveva già espresso preoccupazione per due delle quattro multisig utilizzate per proteggere il bridge.

Dalle 13:08 alle 13:26 CEST, l'hacker ha effettuato 11 diverse transazioni sul bridge, prelevando svariati token. Dopodiché ha iniziato ad inviare tali token su un wallet differente, così da poterli scambiare per ETH sull'exchange decentralizzato Uniswap. Infine, ha inviato tali ETH sul wallet originale:

"Il team di Harmony ha individuato un furto avvenuto questa mattina sul bridge Horizon, l'ammontare è di circa 100 milioni di dollari. Abbiamo iniziato a collaborare con autorità nazionali e specialisti forensi per identificare il colpevole e recuperare i fondi rubati."

1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.More— Harmony (@harmonyprotocol) June 23, 2022

Frax (FRAX), Wrapped Ether (WETH). Aave (AAVE), Sushi (SUSHI), Frax Share (FXS), AAG (AAG), Binance USD (BUSD), Dai (DAI), Tether (USDT), Wrapped BTC (WBTC), e USD Coin (USDC) sono stati rubati dal bridge tramite questo exploit.

L'Horizon Bridge consente i trasferimenti di token tra Harmony e la rete Ethereum, Binance Chain e Bitcoin. Ieri Harmony ha annunciato che il servizio è stato disabilitato, e che il bridge di BTC e i suoi asset non sono stati influenzati dall'attacco. Il team ha anche affermato di star collaborando con "autorità nazionali e specialisti forensi" per identificare il responsabile.

"Le autorità nazionali e gli specialisti forensi dovrebbero indagare su di VOI, per capire quali fragili pratiche di sicurezza sarebbero siate violate affinché questo 'furto' avvenisse."

The national authorities and forensic specialists should be investigating *you* to figure out what kind of broken security practices allowed this "theft" to happen.— Chris Blec (@ChrisBlec) June 24, 2022

La sicurezza del wallet multisig di Horizon su Ethereum era già stata messa in discussione in passato, dato che bastano soltanto due dei quattro firmatari per drenare i fondi. Ape Dev, fondatore del fondo di rischio incentrato sulle criptovalute Chainstride Capital, aveva già messo in guardia la community oltre due mesi fa:

"Attualmente la sicurezza del bridge si basa su un wallet multisig, 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Ha quattro proprietari, soltanto due dei quali sono tenuti a dare il proprio consenso per eseguire una transazione arbitraria (ovvero, drenare 330 milioni di dollari)."

The security of the bridge is currently predicated on a multisig wallet deployed at 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. It has four owners, two of which are required to consent in order to execute an arbitrary transaction (i.e. drain the $330m). — Ape Dev (@_apedev) April 1, 2022

Sembra che la previsione di Ape Dev si sia avverata.

Anche Vitalik Buterin aveva discusso, a gennaio di quest'anno, delle vulnerabilità dei bridge: in una discussione su Reddit aveva spiegato che, quando un bridge viene hackerato, minaccia la liquidità di tutte le chain connesse. Ha inoltre aggiunto che un elevato numero di bridge attivi incrementa il rischio di attacchi del 51%.

Da allora abbiamo assistito ad exploit ai danni del bridge di Meter, del Ronin Bridge di Axie Inifinity e di Wormhole Bridge, portando complessivamente al furto di un miliardo di dollari.

Source

Subscribe to get our top stories

Coin News
App StoreApp Store