Puente Harmony pirateado, $ 100 millones en Ethereum perdido

El 24 de junio, el puente Horizon que conecta a Harmony, una cadena de bloques PoS de capa 1 creada para el token nativo ONE, con el ecosistema Ethereum y Binance Chain fue pirateado, lo que provocó una pérdida de aproximadamente $ 100 millones en ETH. El exploit fue anunciado en Twitter por el equipo de Harmony, quien declaró que están buscando al culpable.

Lo último de una serie de vulnerabilidades

1/ El equipo de Harmony identificó un robo ocurrido esta mañana en el puente Horizon que asciende a aprox. $ 100 millones. Hemos comenzado a trabajar con las autoridades nacionales y especialistas forenses para identificar al culpable y recuperar los fondos robados.

Más

— Armonía (@harmonyprotocol) 23 de junio de 2022

Desde entonces, el puente se ha cerrado para evitar más pérdidas. Los desarrolladores de Harmony también han aclarado que el puente BTC no se ve afectado.

El ataque parece haber tenido lugar en un lapso de 17 horas, comenzando con una transacción por valor de 4919 ETH, seguida de varias transacciones más pequeñas que van desde 911 hasta 0,0003 ETH. El último tuvo lugar después de que se cerrara el puente.

El hackeo es el último de una serie de exploits que afectan el espacio criptográfico, como el drenaje Axie Infinity, Solana Wormhole o, más recientemente, el fiasco (fuera de lugar) de Optimism. Otra vulnerabilidad reciente, el exploit Demonic, que afectó a múltiples monederos criptográficos, se reparó antes de que se pudiera causar algún daño.

Según los informes, se han notificado intercambios, así como a «autoridades nacionales y especialistas forenses». Desafortunadamente para Harmony, el primero puede no ser de mucha ayuda en caso de que se descubra la identidad del pirata informático, dependiendo de la jurisdicción en la que se encuentre.

“También notificamos a los intercambios y detuvimos el puente Horizon para evitar más transacciones. El equipo se pone manos a la obra mientras continúan las investigaciones. Mantendremos a todos actualizados mientras investigamos esto más a fondo y obtenemos más información”.

Advertencia previa emitida por investigadores independientes

Curiosamente, un investigador independiente y desarrollador de blockchain, Ape Dev, emitió una advertencia el 2 de abril. En una serie de tuits, Ape Dev llamó la atención sobre el hecho de que la seguridad de Harmony Bridge se construyó en torno a una billetera multi-sig con solo cuatro propietarios. Predijo que esto podría usarse para ejecutar un ataque muy simple al lograr que 2 de los propietarios firmaran transferencias por un valor de hasta $ 330 millones.

Su talento como detective ha sido reconocido desde entonces por Brendan Eich, director ejecutivo y cofundador de Brave.

https://t.co/MCi4MXJuge

— Ape Dev (@_apedev) 24 de junio de 2022

No está claro si el atacante de Harmony tuvo la idea de la indicación de Ape Dev o si llegó a la misma conclusión de forma independiente. Sin embargo, en cualquier caso, la advertencia llegó casi tres meses antes del desafortunado evento, lo que debería haber dado a los desarrolladores de Harmony tiempo suficiente para asegurar sus sistemas.

Dado que los ataques cibernéticos son cada vez más frecuentes en el espacio criptográfico, los estándares de seguridad de varias plataformas basadas en cadenas de bloques probablemente serán examinados por terceros con mayor regularidad, y con razón.