- Los hackers han explotado el puente de tokens de Harmony, Horizon, para obtener altcoins por valor de 100 millones de dólares, tras aprovechar una debilidad de multisig.
- Uno de los fundadores de capital riesgo predijo un suceso de este tipo en la red a principios de abril.
Layer-1 blockchain Harmony ha anunciado que los hackers han explotado su Horizon Bridge por 100 millones de dólares. El suceso saca a la luz preocupaciones anteriores sobre las vulnerabilidades de seguridad de los puentes de blockchain.
Cabe destacar que Horizon conecta otras tres blockchains a la red de Harmony, a saber, Bitcoin (BTC), Ethereum (ETH) y la cadena Binance (BNB). Las transacciones en el puente sólo requieren la aprobación de dos de las cuatro multi-sig existentes.
1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.
More 🧵
— Harmony 💙 (@harmonyprotocol) June 23, 2022
Exploit del Harmony Bridge Horizon
El último ataque se produjo el 24 de junio, entre las 7.08 am y las 7.26 am ET. Los atacantes realizaron 11 transacciones para retirar varias altcoins del puente a una criptocartera. En la lista están Wrapped BTC (WBTC), USD Coin (USDC), Tether (USDT), Dai (DAI), Aave (AAVE) y Sushi (SUSHI). Otros fueron Binance USD (BUSD), Frax (FRAX), Frax Share (FXS) y AAG (AAG). Harmony señala que no se retiraron fondos ni tokens del puente de Bitcoin.
Después de retirar los tokens, los hackers cambiaron las altcoins robadas por tokens ETH en el intercambio descentralizado Uniswap. A continuación, redirigieron los tokens ETH al monedero.
Tras el robo, Harmony, el operador del puente, decidió cerrarlo para evitar nuevos ataques. La red también notificó a los intercambios de la cartera en cuestión. Ahora ha involucrado a las autoridades nacionales y a expertos forenses para ayudar a determinar al culpable. Harmony promete proporcionar más información sobre el ataque a medida que continúen las investigaciones.
La predicción de la fatalidad
Curiosamente, hace unos tres meses, Ape Dev, fundador de la empresa de capital riesgo centrada en las criptomonedas Chainstride, predijo un suceso de este tipo en Harmony. Con sólo dos firmantes necesarios para pasar una transacción, Ape Dev dijo que el puente estaba «muy» abierto a un ataque.
Ape Dev publicó su observación el 2 de abril, un momento en el que una serie de ataques a puentes estaba apareciendo en los titulares. Los puentes Solana Wormhole y Meter’s token fueron explotados en febrero. El ataque al puente Ronin de Axie Infinity le siguió poco después, justo cuando marzo llegaba a su fin.
En conjunto, los tres sufrieron pérdidas por valor de 1.000 millones de dólares, siendo el puente Ronin el que experimentó las mayores pérdidas (más de 600 millones de dólares). El puente sufrió un exploit de forma similar al Horizonte de Harmony. Sólo requería cinco de nueve validadores para verificar una transacción.
En un post de enero en Reddit, el cofundador de Ethereum, Vitalik Buterin, destacó los problemas de seguridad asociados a los puentes. Sus ataques, dijo, podrían causar escasez de liquidez en las cadenas afectadas. Además, un aumento de los puentes presenta el riesgo de un ataque del 51% en una cadena, algo que podría extenderse rápidamente al resto de las cadenas del puente
Hasta ahora, las altcoins robadas del ataque a Harmony no han hecho ningún movimiento significativo en el mercado. Sin embargo, el token nativo de la red, ONE, ha bajado un 11,5 por ciento en el último día para cotizar a 0,024 dólares.