La scorsa settimana la società Harmony, blockchain di livello 1 lanciata nel 2019, ha subito un attacco hacker che ha comportato al clamoroso furto di 100 milioni di dollari. La causa all’origine dell’attacco sarebbe dovuta a uno schema multi-sig compromesso.
Harmony, lanciata da Stephen Tse attraverso Binance Launchpad tramite una IEO (Initial Exchange Offer), ha l’obiettivo di risolvere il continuo “trilemma della blockchain”, andando a bilanciare la scalabilità con la sicurezza e il decentramento. Il token nativo di Harmony viene utilizzato per le commissioni di transazione, lo staking e la governance, permettendo ai possessori di partecipare alle decisioni relative al futuro della rete. L’Horizon Bridge di Harmony consente agli utenti di trasferire le proprie risorse crittografiche da una blockchain all’altra.
La società ha comunicato attraverso un tweet l’attacco subito e che sta indagando e collaborando con l’FBI, autorità competenti e diverse società di sicurezza informatica per cercare di recuperare i fondi sottratti dall’attacco.
Il giorno seguente, il capo della sicurezza delle informazioni di Polygon, Mudit Gupta, ha affermato che l’hacker avrebbe sfruttato la possibilità di compromettere lo schema multi-firma 2 su 5 su cui si basa il bridge della blockchain Harmony.
“L’hacker ha compromesso 2 indirizzi e li ha fatti prosciugare. I due indirizzi erano probabilmente hot wallet utilizzati per ascoltare ed elaborare transazioni di bridging legittime”.
I bridge blockchain come Harmony ricoprono un importante ruolo per la finanza decentralizzata in quanto danno la possibilità agli utenti di trasferire le proprie risorse da una blockchain all’altra (nel caso specifico di Horizon, gli utenti possono inviare token dalla rete Ethereum a Binance Smart Chain) e rappresentano ormai un obiettivo molto allettante per gli hacker a causa delle vulnerabilità nel loro codice sottostante e della grande liquidità che devono conservare.
l team di risposta agli incidenti ha annunciato di non aver trovato prove di violazioni dei codici degli smart contract aziendali o di vulnerabilità sulla piattaforma Horizon. Harmony ha sottolineato che il livello di consenso della blockchain Harmony rimane sicuro. Hanno scoperto però prove che le chiavi private sono state compromesse, portando alla violazione del bridge Horizon.
“Il team ha trovato prove che le chiavi private sono state compromesse, portando alla violazione del nostro bridge Horizon. I fondi sono stati rubati dal lato Ethereum del bridge. La riservatezza è la chiave per mantenere l’integrità come parte di questa indagine in corso: l’omissione di dettagli specifici serve a proteggere i dati sensibili nell’interesse della nostra comunità”.
In un successivo tweet harmony ha offerto $1 milione di ricompensa a chi offrisse notizie utili per recuperare le somme sottratte dagli hacker.
La società di sicurezza blockchain CertiK ha pubblicato un’analisi dettagliata dell’incidente, confermando che i threat actors sono stati in grado di accedere ai proprietari dei portafogli multiSig di Horizon, quindi ha prosciugato i fondi da Harmony.
“Il 23 giugno 2022 alle 11:06:46 +UTC, il ponte tra la catena Harmony ed Ethereum ha subito molteplici exploit. La nostra analisi di esperti ha identificato dodici transazioni di attacco e tre indirizzi di attacco. Durante queste transazioni l’attaccante ha ottenuto vari token sul bridge, tra cui ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH e FRAX. Le transazioni variano in valore ma vanno da $ 49.178 a un massimo di $ 41.200.000. L’attaccante ha ottenuto ciò controllando in qualche modo il proprietario del MultiSigWallet per chiamare direttamente confirmTransaction() per trasferire grandi quantità di token dal bridge su Harmony, il che ha portato a una perdita totale di circa $ 97 milioni di asset sulla catena Harmony che l’attaccante si è consolidata in un unico indirizzo principale”, si legge nell’analisi pubblicata da CertiK.
https://cryptonomist.ch/2022/06/27/hacking-100-milioni-harmony/
https://securityaffairs.co/wordpress/132642/hacking/harmony-crypto-assets.html
