Un pirata informático aprovechó una vulnerabilidad para robar USD 100 millones de Horizon Bridge de Harmony, que permite a los usuarios transferir sus criptoactivos de una cadena de bloques a otra.
Harmony, la criptoempresa estadounidense detrás de Horizon, dijo en una entrada de blog el viernes que fue notificado de un “ataque malicioso” en su puente de cadena de bloques Horizon patentado el jueves. Los puentes de cadena de bloques, también conocidos como puentes de cadenas cruzadas, facilitan la comunicación entre diferentes cadenas de bloques y permiten a los usuarios enviar activos de una cadena a otra. Con el puente Horizon de Harmony, por ejemplo, los usuarios pueden mover activos, incluidos tokens, monedas estables y NFT, entre las cadenas de bloques Ethereum, Binance Smart Chain y Harmony.
Harmony dijo que el culpable del ataque, que la compañía señaló en un tuit, robó cerca de $100 millones en criptomonedas de su puente de cadena de bloques.
Según la empresa de análisis de blockchain Elliptic, se tomaron una variedad de criptoactivos, incluidos Ethereum, Binance Coin, Tether, USD Coin y Dai. Elliptic agregó que los tokens robados ahora se cambiaron por Ethereum utilizando intercambios descentralizados, una “técnica común con estos hacks”, dijo.
Harmony dijo en su publicación de blog que inmediatamente después del ataque, se notificó a varios socios de seguridad cibernética, socios de intercambio y al FBI y se les solicitó que ayudaran con una investigación para identificar al culpable y recuperar los activos robados. “Además, el equipo ha intentado comunicarse con el pirata informático con un mensaje incrustado en una transacción a la dirección del culpable”, se lee en la publicación del blog.
Harmony agregó que había detenido el puente Horizon para evitar más transacciones. El puente de Harmony para bitcoin fue inafectado.
“Este incidente es un recordatorio desafortunado y humillante de cómo nuestro trabajo es primordial para el futuro de este espacio, y cuánto de nuestro trabajo queda por delante”, decía la publicación del blog. “Las investigaciones en curso presentan un desafío sobre qué información se permite compartir con el público, pero continuaremos brindando actualizaciones con la información más reciente tan pronto como podamos compartir”.
Harmony no ha revelado exactamente cómo se robaron los fondos y no hizo comentarios cuando TechCrunch se puso en contacto con ellos.
Sin embargo, un inversor quien va por el mango Ape Dev tenía preocupaciones sobre la seguridad de su puente Horizon desde abril. El investigador advirtió en Twitter que la seguridad del puente Horizon dependía de una billetera de múltiples firmas, o “multisig”, que requería solo dos firmas para iniciar transacciones. Las billeteras multifirma requieren el consentimiento de varias partes para garantizar una seguridad adicional en las transacciones.
“Así que, en general, si dos de los cuatro firmantes de firmas múltiples se ven comprometidos, vamos a ver otro truco de 9 cifras”, escribió Ape Dev, fundador del fondo de riesgo criptográfico Chainstride Capital, el 1 de abril. “Considerando todo lo que es estado sucediendo últimamente, sería interesante escuchar algunos detalles de @protocoloarmonía sobre cómo estos [externally owned accounts] están asegurados”,
El hackeo del puente Harmony sigue a una serie de ataques notables en otros puentes de blockchain. Ronin Network, una cadena lateral basada en Ethereum creada para el popular juego Axie Infinity, perdió más de $ 600 millones en marzo, un ataque que los funcionarios estadounidenses vincularon desde entonces con el grupo de piratería Lazarus, respaldado por el estado de Corea del Norte. Del mismo modo, la plataforma de finanzas descentralizadas Wormhole perdió casi 325 millones de dólares a manos de piratas informáticos en febrero después de que explotaron una falla de seguridad en su código de contrato inteligente.