La red de blockchain de capa 1 Harmony Protocol (ONE) dijo el 24 de junio que un hacker explotó su puente horizonte, y que se robaron aproximadamente 100 millones de dólares en tokens en el puente.

1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.

More 🧵

— Harmony 💙 (@harmonyprotocol) June 23, 2022

El ataque es uno de los mayores de las últimas semanas. Harmony dijo que ha comenzado a «trabajar con las autoridades nacionales y los especialistas forenses para identificar al culpable y recuperar los fondos robados.»

El equipo añadió que el exploit no afectó al puente de Bitcoin (BTC), que no es de confianza, y que los activos almacenados en bóvedas descentralizadas siguen siendo seguros.

El puente Horizon conecta el protocolo de Harmony con otras redes como Ethereum y Binance Smart Chain, permitiendo las transferencias de criptomonedas, stablecoins y NFTs entre la blockchain de Harmony y la red.

Harmony fue advertido de la vulnerabilidad

En abril, el desarrollador e investigador de blockchain Ape Dev advirtió sobre la débil seguridad de Harmony. Predijeron que una parte maliciosa podría explotarla en un ataque que podría provocar pérdidas de hasta 330 millones de dólares.

Since the current narative du-jour is bridges & bridge hacks, I wanted to do some digging on the harmony bridge on Ethereum which secures ~$330m worth of tokens.

— Ape Dev (@_apedev) April 1, 2022

Según la información disponible, el atacante movió los fondos en 12 transacciones utilizando tres direcciones de ataque. Como resultado, pudieron mover fondos a tokens como ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD y AAG.

El atacante fue capaz de obtener el control de la MultiSigWallet y confirmó las transacciones para transferir los fondos robados directamente.

Harmony Protocol's Horizon bridge was hacked and $100 million were drained earlier today.

The bridge was essentially a 2 of 5 multisig. If any 2 addresses told it to transfer funds to someone, it did.

The hacker compromised 2 addresses and made them drain the money. 🧵👇 pic.twitter.com/hv1JWDy9WQ

— Mudit Gupta (@Mudit__Gupta) June 24, 2022

Aunque la identidad del hacker sigue siendo desconocida, el hecho de que el equipo de Harmony pudiera haber evitado el ataque planteará dudas sobre su seguridad entre la comunidad de criptomonedas.

La mayoría de los tokens robados seguían en la cartera del atacante al cierre de esta edición. Sin embargo, el atacante ha comenzado a convertir los fondos robados en ETH a través de Uniswap.

The @harmonyprotocol bridge exploiter 0x0d04…ed00 stole 11 different erc-20 tokens and 13,100 Ether from the bridge.

They then transferred other erc-20 tokens to two other wallets to swap via uniswap and others dexs back to eth, and finally it back to 0x0d04…ed00. pic.twitter.com/HY5JepVrPu

— MistTrack (@MistTrack_io) June 24, 2022