La blockchain Horizon Bridge to the Harmony layer-1 a été exploitée pour 100 millions de dollars en altcoins qui sont échangés contre Ether (ETH).
Le piratage peut justifier les préoccupations de la communauté précédemment soulevées concernant la robustesse des deux des quatre multisig qui sécurise le pont.
À partir d’environ 7 h 08 jusqu’à 7 h 26 HE, 11 transactions ont été fabriqués à partir du pont pour divers jetons. Ils ont depuis commencé à envoyer des jetons à un différent portefeuille pour échanger contre ETH sur l’échange décentralisé Uniswap (DEX), puis renvoyer l’ETH au portefeuille d’origine.
1/ L’équipe Harmony a identifié un vol survenu ce matin sur le pont Horizon d’un montant d’env. 100 millions de dollars. Nous avons commencé à travailler avec les autorités nationales et les spécialistes de la médecine légale pour identifier le coupable et récupérer les fonds volés.
Suite
— Harmonie (@harmonyprotocol) 23 juin 2022
Jusqu’à présent, Frax (FRAX), Wrapped Ether (WETH). Aave (AAVE), Sushi (SUSHI), Frax Share (FXS), AAG (AAG), Binance USD (BUSD). Dai (DAI), Tether (USDT), Wrapped BTC (WBTC) et USD Coin (USDC) ont été volés sur le pont grâce à cet exploit.
Le pont Horizon facilite les transferts de jetons entre Harmony et le réseau Ethereum, Binance Chain et Bitcoin. Harmony, l’opérateur du pont, annoncé tard le 23 juin que le pont a été arrêté. Il a déclaré que le pont BTC et ses actifs n’avaient pas été affectés par l’attaque.
L’équipe d’Harmony a également déclaré qu’elle travaillait avec « les autorités nationales et les spécialistes médico-légaux » pour déterminer qui est responsable. Une autopsie suivra certainement.
Les développeurs et le co-fondateur d’Harmony Nick White n’ont pas répondu aux demandes de commentaires. Harmony est une blockchain de couche 1 utilisant un consensus de preuve de participation. Son jeton natif est ONE.
Des inquiétudes ont déjà été exprimées quant à la solidité du portefeuille multisig d’Horizon sur Ethereum, qui ne nécessitait que deux des quatre signataires pour drainer les fonds. Un fondateur du fonds de capital-risque axé sur la cryptographie Chainstride Capital Ape Dev c’est noté sur Twitter le 2 avril que le faible nombre de signataires requis laisserait le pont ouvert pour « un autre piratage à 9 chiffres ».
La sécurité du pont repose actuellement sur un portefeuille multisig déployé à 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Il a quatre propriétaires, dont deux sont tenus de donner leur consentement pour exécuter une transaction arbitraire (c’est-à-dire drainer les 330 millions de dollars). pic.twitter.com/sgYmyPrYgf
– Ape Dev (@_apedev) 1 avril 2022
La prédiction d’Ape Dev semble être devenue réalité puisque le pont a maintenant perdu 100 millions de dollars d’actifs.
Il est loin d’être le seul développeur en crypto à avoir des scrupules avec la sécurité des ponts à jetons.
Vitalik Buterin a discuté des problèmes liés aux ponts symboliques dans un article Reddit en janvier. Il a postulé que lorsque les ponts sont exploités, cela menace la liquidité de chaque chaîne affectée. Il a ajouté qu’à mesure que le nombre de ponts symboliques augmente, la menace d’une attaque à 51% sur une chaîne pourrait présenter un risque de contagion plus important pour les autres.
Depuis sa prédiction, le pont symbolique de Meter, le pont Ronin d’Axie Inifinity et le pont Wormhole ont chacun été exploités pour près d’un milliard de dollars combinés.
Les autorités nationales et les spécialistes médico-légaux devraient enquêter sur *vous* pour déterminer quel type de pratiques de sécurité brisées a permis à ce « vol » de se produire.
– Chris Blec (@ChrisBlec) 24 juin 2022
Les multisigs sont un problème de sécurité permanent dans les attaques. Le pont Ronin était sécurisé par neuf validateurs, dont seulement cinq étaient tenus de vérifier une transaction. L’attaquant a pris le contrôle des cinq validateurs requis et a extrait plus de 600 millions de dollars d’actifs.
Lié: Chainalysis lance un service de signalement pour les entreprises ciblées par des cyberattaques liées à la cryptographie
Le marché ne semble pas encore avoir réagi à l’attaque car les prix de toutes les pièces et jetons en question n’ont pas bougé de manière significative. Cependant, ONE a chuté de 7,4 % au cours des dernières 24 heures, la majeure partie de la chute étant survenue au cours des 5 dernières heures. Il se négocie à 0,024 $ selon à CoinGecko.