Un pirate informatique a exploité une vulnérabilité pour voler 100 millions de dollars à Harmony’s Horizon Bridge, ce qui permet aux utilisateurs de transférer leurs actifs cryptographiques d’une blockchain à une autre.
Harmony, la startup américaine de cryptographie derrière Horizon, a déclaré vendredi dans un article de blog qu’elle avait été informée d’une “attaque malveillante” sur son pont de blockchain propriétaire Horizon jeudi. Les ponts de chaînes de blocs, également appelés ponts inter-chaînes, facilitent la communication entre différentes chaînes de blocs et permettent aux utilisateurs d’envoyer des actifs d’une chaîne à l’autre. En utilisant le pont Horizon d’Harmony, par exemple, les utilisateurs peuvent déplacer des actifs – y compris des jetons, des pièces stables et des NFT – entre Ethereum, Binance Smart Chain et les blockchains Harmony.
Harmony a déclaré que le coupable de l’attaque – que la société a désigné dans un tweet – a volé près de 100 millions de dollars en crypto-monnaie de son pont blockchain.
Selon la société d’analyse de blockchain Elliptic, une variété d’actifs cryptographiques ont été pris, notamment Ethereum, Binance Coin, Tether, USD Coin et Dai. Elliptic a ajouté que les jetons volés ont maintenant été échangés contre Ethereum en utilisant des échanges décentralisés – une “technique couramment utilisée avec ces hacks”, a-t-il déclaré.
Harmony a déclaré dans son article de blog qu’immédiatement après l’attaque, plusieurs partenaires de cybersécurité, partenaires d’échange et le FBI ont été informés et invités à participer à une enquête pour identifier le coupable et récupérer les actifs volés. “De plus, l’équipe a tenté de communiquer avec le pirate avec un message intégré dans une transaction à l’adresse du coupable”, lit-on sur le blog.
Harmony a ajouté qu’elle avait arrêté le pont Horizon pour empêcher de nouvelles transactions. Le pont d’Harmony pour le bitcoin n’a pas été affecté.
“Cet incident est un rappel humiliant et malheureux de la façon dont notre travail est primordial pour l’avenir de cet espace, et combien de notre travail reste devant nous”, a déclaré le blog. “Les enquêtes en cours présentent un défi quant aux informations qui peuvent être partagées avec le public, mais nous continuerons à fournir des mises à jour avec les dernières informations dès que nous serons en mesure de les partager.”
Harmony n’a pas révélé exactement comment les fonds ont été volés et n’a fait aucun commentaire lorsqu’il a été contacté par TechCrunch.
Cependant, un investisseur qui passe par la poignée Ape Dev avait des inquiétudes quant à la sécurité de son pont Horizon dès avril. Le chercheur a averti sur Twitter que la sécurité du pont Horizon reposait sur un portefeuille multisignature – ou «multisig» – qui ne nécessitait que deux signatures pour initier des transactions. Les portefeuilles multisig nécessitent le consentement de plusieurs parties pour assurer une sécurité supplémentaire sur les transactions.
“Donc, dans l’ensemble, si deux des quatre signataires multisig sont compromis, nous allons voir un autre piratage à neuf chiffres”, a écrit Ape Dev, fondateur du fonds de capital-risque Chainstride Capital, le 1er avril. “Compte tenu de tout ce qui a été se passe ces derniers temps, il serait intéressant d’entendre quelques détails de @harmonyprotocol sur la façon dont ces [externally owned accounts] sont sécurisés. »
Le piratage du pont Harmony fait suite à une série d’attaques notables sur d’autres ponts de blockchain. Le réseau Ronin, une chaîne latérale basée sur Ethereum conçue pour le jeu populaire de jeu pour gagner Axie Infinity, a perdu plus de 600 millions de dollars en mars, une attaque que les responsables américains ont depuis liée au groupe de piratage soutenu par l’État nord-coréen Lazarus. De même, la plate-forme financière décentralisée Wormhole a perdu près de 325 millions de dollars aux pirates en février après avoir exploité une faille de sécurité dans son code de contrat intelligent.