Harmony Bridge - REKT

Harmony ha tocado una nota errada.

Por una suma de $100M.

Este es el tercer bridge en el top 10 y el segundo drenado a través de private keys comprometidas.

Más de 14 horas después de que comenzaran a moverse los primeros fondos, se anunció el robo.

¿Estaban realmente aseguradas nueve cifras con sólo dos firmas?

Créditos: RugDocIO, BeosinAlert

Harmony Bridge fue asegurado por un 2 de 5 multisig, de los cuales las siguientes direcciones fueron comprometidas:

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

Se desconoce el vector de ataque que permitió al hacker tomar el control de estas direcciones, aunque algunos han especulado que se trataba de hot wallets con private keys guardadas en un plaintxt.

Si un atacante lograra obtener acceso a los servidores que ejecutan estas hot wallets, tendría acceso a las dos direcciones necesarias para pasar cualquier transacción que desee, como drenar $100M del bridge.

Dirección del exploiter: 0x0d043128146654c7683fbf30ac98d7b2285ded00

Harmony ETH Bridge: 0xf9fb1c508ff49f78b60d3a96dea99fa5d7f3a8a6

Harmony ERC20 Bridge: 0x2dCCDB493827E15a5dC8f8b72147E6c4A5620857

Harmony BUSD Bridge: 0xfd53b1b4af84d59b20bf2c20ca89a6beeaa2c628

A partir de las 11:06 UTC, el hacker envío 13,1 k ETH desde el bridge ETH a la dirección del exploiter, 5,5M BUSD desde el bridge BUSD y drenó los siguientes activos del bridge ERC20:

Los anteriores se enviaron a las exploiter addresses 2 y 3, se cambiaron por ETH y se devolvieron a la dirección principal, donde permanecen.

En BSC, el atacante también tomó 5k BNB y 640k BUSD que también permanecen en la dirección de BSC.

El flujo de fondos se puede ver en el siguiente gráfico de Peckshield:

Desde el hack, el número de firmantes se actualizó a 4.

Demasiado poco y demasiado tarde.

Desde el incidente de Ronin, que encabeza el leaderboard, en el que se comprometieron las keys de 5 de 9 validadores, se ha hablado mucho de las sofisticadas campañas de spearphishing atribuidas al grupo Lazarus.

Dado que se sabe que amenazas como estas apuntan implacablemente a proyectos criptos, el hecho de que el bridge oficial de otra red completa pueda drenarse comprometiendo solo dos direcciones está lejos de ser aceptable.

No es solo que los otros deberían haber hecho sonar las alarmas, sino que a principios de abril @_apedev llamó la atención específicamente la precaria situación de seguridad del Harmony bridge.

¿Cómo es posible que los desarrolladores pasaran por alto, y luego ignoraran, una seguridad tan laxa para asegurar 9 cifras de los fondos de los usuarios?

Harmony siempre tuvo problemas para atraer usuarios.

Después de este ataque, y con el sentimiento del mercado en mínimos históricos, ¿es este el fin de Harmony Network?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.