Tecnología.

Puente de cadena cruzada de Harmony explotado por $ 100 millones

06/24/2022
Noticias de Bitcoin Ethereum

Puntos clave

  • El puente de cadena cruzada Horizon de Harmony ha sido explotado por alrededor de $ 100 millones en varios tokens.
  • El atacante ha vendido todos los fondos robados para Ethereum, pero los lavará a través de un protocolo de privacidad como Tornado Cash.
  • Según los informes, el equipo de Harmony está trabajando con la Oficina Federal de Investigaciones y varias empresas de seguridad cibernética para identificar al atacante.

Compartir este artículo

El equipo de Harmony ha confirmado que el puente Horizon ha sido explotado por aproximadamente $100 millones en varios tokens.

Harmony Bridge Hit por $ 100 millones

Harmony, una cadena de bloques de prueba de participación compatible con EVM, ha tenido su puente de cadena cruzada Horizon explotado en una importante brecha de seguridad.

El equipo de Harmony confirmó en una publicación de Twitter el viernes por la mañana que Horizon, el puente que conecta la red de Harmony con BNB Chain y Ethereum, había sido explotado por alrededor de $100 millones en varios tokens. “El equipo de Harmony ha identificado un robo ocurrido esta mañana en el puente Horizon por un monto de aprox. $ 100 millones”, dijo una publicación de la cuenta oficial de Twitter de Harmony, y agregó que ya está trabajando con las autoridades nacionales y expertos forenses para identificar al atacante y potencialmente recuperar los fondos robados.

Según los datos de la cadena, el exploit comenzó alrededor de las 12:02 UTC del jueves y duró aproximadamente 15 horas. El atacante ejecutó 16 transacciones maliciosas de varios tamaños, desde 14,190 30 hasta 100 ETH antes de que el equipo de Harmony notara el ataque y detuviera el puente Horizon para evitar más transacciones maliciosas. Después de robar aproximadamente $ XNUMX millones en varios tokens, incluidos Frax, Frax Shares, Ethereum envuelto, Bitcoin envuelto, Aave, Sushi, Tether y Binance USD, el atacante los envió a diferentes billeteras, los cambió por Ethereum en el intercambio descentralizado Uniswap, y luego transfirió los fondos robados al cartera de origen.

Imagen

Poco común para este tipo de exploits, el atacante aún no ha intentado anonimizar los fondos robados a través de un protocolo de privacidad como Tornado Cash. En un tuit de seguimiento, el equipo de Harmony declaró que está trabajando con la Oficina Federal de Investigaciones y varias empresas de seguridad cibernética para rastrear e identificar al atacante. La participación de las autoridades estadounidenses significa que existe la posibilidad de que la Oficina de Control de Activos Extranjeros agregue la billetera del atacante a sus direcciones sancionadas. lista negra, impidiéndole efectivamente lavar los fondos robados a través de Tornado Cash.

Si bien Harmony aún no ha compartido detalles específicos sobre cómo ocurrió el exploit, los expertos en seguridad de blockchain han especulado que el atacante probablemente obtuvo acceso a al menos dos de las cinco claves privadas de la billetera de múltiples firmas que controlan los contratos inteligentes del puente Horizon. Este vector de ataque ya estaba destacó en abril por Ape Dev, el seudónimo fundador de la firma de riesgo enfocada en criptomonedas Chainstride Capital. Dijeron que habían investigado el puente Harmony en Ethereum y descubrieron que "si dos de los cuatro firmantes multigrado están comprometidos, vamos a ver otro truco de 9 cifras", que parece ser precisamente lo que sucedió ayer.

Mudit Gupta, director de seguridad de la información de Polygon, comentó que esto no fue un "hackeo de blockchain" sino un "hackeo tradicional", y especuló que el atacante probablemente comprometió los servidores que alojan las claves de la billetera de firmas múltiples de Horizon. “Una vez dentro del servidor, podían acceder a las claves que se guardaban en texto sin formato para firmar transacciones legítimas”, dijo, y agregó que el exploit es “inquietantemente similar” al de $551.8 millones de Axie Infinity. Red Ronin explotar desde marzo. En abril, el Departamento del Tesoro de EE. confirmado que el grupo de ciberdelincuencia patrocinado por el estado de Corea del Norte conocido como Lazarus Group estaba detrás de la explotación de Ronin Network.

Harmony declaró que su puente de Bitcoin sin confianza no se vio afectado por el exploit y que continuaría actualizando al público con nueva información a medida que llegara.

Divulgación: en el momento de escribir este artículo, el autor de este artículo poseía ETH y varias otras criptomonedas.

Compartir este artículo

La información a la que se accede a través de este sitio web se obtiene de fuentes independientes que creemos que son precisas y confiables, pero Decentral Media, Inc. no se responsabiliza ni garantiza la puntualidad, integridad o exactitud de cualquier información a la que se acceda a través de este sitio web. . Decentral Media, Inc. no es un asesor de inversiones. No brindamos asesoramiento de inversión personalizado u otro asesoramiento financiero. La información en este sitio web está sujeta a cambios sin previo aviso. Parte o toda la información en este sitio web puede quedar desactualizada, o puede estar incompleta o inexacta. Podemos, pero no estamos obligados a actualizar ninguna información desactualizada, incompleta o inexacta.

Nunca debe tomar una decisión de inversión en una ICO, IEO u otra inversión basada en la información de este sitio web, y nunca debe interpretar o confiar en ninguna información en este sitio web como asesoramiento de inversión. Recomendamos encarecidamente que consulte a un asesor de inversiones con licencia u otro profesional financiero calificado si está buscando asesoramiento de inversión en una ICO, IEO u otra inversión. No aceptamos compensación de ninguna forma por analizar o informar sobre cualquier ICO, IEO, criptomoneda, moneda, ventas tokenizadas, valores o productos.

See términos y condiciones.

Fuente: https://cryptobriefing.com/harmonys-cross-chain-bridge-exploited-for-100m/?utm_source=feed&utm_medium=rss