Harmony es golpeada por un hackeo de USD 100 millones en la más reciente explotación de vulnerabilidad asociada a un bridge cross-chain
Por Samuel Haig, traducido al español por Ezequiel Martín
24 de junio de 2022
Noticias DeFi, Explotación
Los bridges entre blockchains continúan demostrando ser el eslabón más débil de DeFi.
El 23 de junio, Harmony, una blockchain layer 1, dijo que identificó un exploit con un valor aproximado de 100 millones de dólares direccionado a su bridge Horizon. El equipo de Harmony ha comenzado a trabajar con "autoridades nacionales y especialistas forenses" para identificar al hacker e intentar recuperar los fondos robados. Harmony tiene su sede en California.
Activos robados
Harmony detuvo la operación de su bridge Horizon para evitar que los usuarios pierdan más fondos y ha notificado a los exchanges centralizados sobre el exploit para evitar que el hacker convierta los activos robados. Dijo que su bridge trustless de BTC no se ha visto afectado ya que los activos se almacenan en bóvedas descentralizadas.
El bridge Horizon facilita las transferencias de activos entre Harmony y las redes Ethereum y Binance Smart Chain. El hacker robó Ethereum, Wrapped Ether, Wrapped Bitcoin, Binance Coin, Aave, Sushi, Frax Share y AAG, además de las monedas estables DAI, Tether, USD Coin, Binance USD y Frax.
Harmony ocupa el puesto 33 entre las blockachain por un valor total bloqueado (TVL, por las siglas en inglés de Total Value Locked) con USD 70 millones, según DeFi Llama.
MistTrack, una plataforma de seguimiento de crypto, tuiteó que el hacker ya comenzó a intercambiar algunos de los tokens ERC-20 por Ether utilizando el exchange descentralizado Uniswap. Las billeteras del perpetrador actualmente tienen un valor de casi USD 98,9 millones en Ether, USD 1,16 millones en BNB, USD 777.800 en tokens ERC-20 y USD 640.307 en BUSD.
La seguridad del bridge de Harmony se puso en duda en abril cuando Apedev, el fundador de Chainstride Capital, tuiteó que su seguridad dependía por completo de una wallet multisig con dos de cuatro firmas.
Los hacks más grandes de DeFi
“Este multisig no está verificado en Etherscan, pero la implementación parece estar en GitHub. Está modificado de una multisig existente de Consensys multisig, pero las modificaciones no parecen ser obvias ni hacerse públicas... si dos de los cuatro firmantes multisig están comprometidos, vamos a ver otro hackeo de 9 cifras”, advirtieron, señalando que el bridge luego aseguró USD 330 millones en activos.
El precio del token ONE nativo de Harmony ha bajado un 12,9% en 24 horas, y el último cambio de manos fue de USD 0,023, según CoinGecko.
Mantener activos
Los bridges entre blockchains han sido constantemente la fuente de los mayores ataques a DeFi. Los bridges funcionan manteniendo activos que se "transfieren" desde su blockchain nativa y brindando a los usuarios un token para usar en la blockchain de destino, que luego se destruye para desbloquear el activo original cuando el usuario envía los fondos a su blockchain nativa.
Como tal, los bridges populares pueden convertirse rápidamente en enormes trampas para que sean explotadas por los hackers.
El bridge Ronin de Axie Infinity obtuvo el desafortunado galardón de sufrir el mayor exploit en la historia de DeFi cuando le robaron USD 615 millones en marzo. Ronin estaba protegido de manera similar por una billetera de firmas múltiples cinco de nueve, y el atacante obtuvo el control de cuatro validadores Ronin operados por el desarrollador de Axie, Sky Mavis, y un validador de terceros administrado por Axie DAO.
El ataque a Ronin superó los USD 610 millones que se drenaron del bridge de Poly Network en agosto de 2021. Sin embargo, casi todos los fondos se devolvieron más tarde a Poly Network, y la firma china de seguridad cibernética SlowMist reveló que había identificado la dirección de correo electrónico del pirata informático. Dirección IP y huella digital del dispositivo.
En febrero, el bridge Wormhole de Solana fue alcanzado por un ataque que ascendió a USD 325 millones para su perpetrador.