Scoperta forse la causa all’origine del clamoroso hacking che ha sottratto 100 milioni di dollari ad Harmony mercoledì scorso.
Summary
Harmony subisce un hack da 100 milioni di dollari
Mercoledì scorso la società Harmony, blockchain di livello 1 lanciata nel 2019 da Stephen Tse, ha subito un furto di 100 milioni di dollari a causa di un attacco hacker.
1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.
More 🧵
— Harmony 💙 (@harmonyprotocol) June 23, 2022
Harmony ha l’obiettivo di risolvere il persistente “trilemma della blockchain”, andando a bilanciare la scalabilità con la sicurezza e il decentramento.
Con un tweet la società ha comunicato questo attacco e che stava collaborando con FBI, autorità competenti e società di cyber security per cercare di recuperare i fondi sottratti dall’attacco.
Il giorno seguente, il capo della sicurezza delle informazioni di Polygon, Mudit Gupta, ha affermato che l’hacker avrebbe sfruttato la possibilità di compromettere lo schema multi-firma 2 su 5 su cui si basa il bridge della blockchain Harmony.
Gupta ha spiegato:
“L’hacker ha compromesso 2 indirizzi e li ha fatti prosciugare. I due indirizzi erano probabilmente hot wallet utilizzati per ascoltare ed elaborare transazioni di bridging legittime”.
Come funzionano i bridge che permettono trasferimento di asset cross-chain?
I bridge blockchain come Harmony hanno assunto un importante ruolo per la finanza decentralizzata, dal momento che danno la possibilità agli utenti di trasferire le proprie risorse da una blockchain all’altra. Nel caso specifico di Horizon, gli utenti possono inviare token dalla rete Ethereum a Binance Smart Chain.
I bridge sono ormai un obiettivo molto allettante per gli hacker a causa delle vulnerabilità nel loro codice sottostante e della grande liquidità che devono conservare.
Il fondatore del protocollo Harmony ha scritto in un rapporto sulla vicenda che:
“Il team ha trovato prove che le chiavi private sono state compromesse, portando alla violazione del nostro bridge Horizon: i fondi sono stati rubati dal lato Ethereum del bridge. La riservatezza è la chiave per mantenere l’integrità come parte di questa indagine in corso: l’omissione di dettagli specifici serve a proteggere i dati sensibili nell’interesse della nostra comunità”.
In un successivo tweet la società ha offerto $1 milione di ricompensa a chi offrisse notizie utili per recuperare la somme sottratte dagli hacker.
We commit to a $1M bounty for the return of Horizon bridge funds and sharing exploit information.
Contact us at [email protected] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony will advocate for no criminal charges when funds are returned.
— Harmony 💙 (@harmonyprotocol) June 26, 2022
Harmony, che è stato lanciato attraverso Binance Launchpad attraverso una IEO (Initial Exchange Offer), ha incassato 23 milioni nel maggio 2019, mentre dopo tre anni dal lancio ha una capitalizzazione di mercato totale di circa $1,5 miliardi. Il token nativo di Harmony si chiama ONE e viene utilizzato per le commissioni di transazione, lo staking e la governance, consentendo ai possessori di partecipare alle decisioni relative al futuro della rete.