L'Horizon Bridge della blockchain Layer-1 Harmony è stato hackerato, portando al furto di 100 milioni di dollari in criptovalute. In passato, la community aveva già espresso preoccupazione per due delle quattro multisig utilizzate per proteggere il bridge.

Dalle 13:08 alle 13:26 CEST, l'hacker ha effettuato 11 diverse transazioni sul bridge, prelevando svariati token. Dopodiché ha iniziato ad inviare tali token su un wallet differente, così da poterli scambiare per ETH sull'exchange decentralizzato Uniswap. Infine, ha inviato tali ETH sul wallet originale:

"Il team di Harmony ha individuato un furto avvenuto questa mattina sul bridge Horizon, l'ammontare è di circa 100 milioni di dollari. Abbiamo iniziato a collaborare con autorità nazionali e specialisti forensi per identificare il colpevole e recuperare i fondi rubati."

Frax (FRAX), Wrapped Ether (WETH). Aave (AAVE), Sushi (SUSHI), Frax Share (FXS), AAG (AAG), Binance USD (BUSD), Dai (DAI), Tether (USDT), Wrapped BTC (WBTC), e USD Coin (USDC) sono stati rubati dal bridge tramite questo exploit.

L'Horizon Bridge consente i trasferimenti di token tra Harmony e la rete Ethereum, Binance Chain e Bitcoin. Ieri Harmony ha annunciato che il servizio è stato disabilitato, e che il bridge di BTC e i suoi asset non sono stati influenzati dall'attacco. Il team ha anche affermato di star collaborando con "autorità nazionali e specialisti forensi" per identificare il responsabile.

"Le autorità nazionali e gli specialisti forensi dovrebbero indagare su di VOI, per capire quali fragili pratiche di sicurezza sarebbero siate violate affinché questo 'furto' avvenisse."

La sicurezza del wallet multisig di Horizon su Ethereum era già stata messa in discussione in passato, dato che bastano soltanto due dei quattro firmatari per drenare i fondi. Ape Dev, fondatore del fondo di rischio incentrato sulle criptovalute Chainstride Capital, aveva già messo in guardia la community oltre due mesi fa:

"Attualmente la sicurezza del bridge si basa su un wallet multisig, 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Ha quattro proprietari, soltanto due dei quali sono tenuti a dare il proprio consenso per eseguire una transazione arbitraria (ovvero, drenare 330 milioni di dollari)."

Sembra che la previsione di Ape Dev si sia avverata.

Anche Vitalik Buterin aveva discusso, a gennaio di quest'anno, delle vulnerabilità dei bridge: in una discussione su Reddit aveva spiegato che, quando un bridge viene hackerato, minaccia la liquidità di tutte le chain connesse. Ha inoltre aggiunto che un elevato numero di bridge attivi incrementa il rischio di attacchi del 51%.

Da allora abbiamo assistito ad exploit ai danni del bridge di Meter, del Ronin Bridge di Axie Inifinity e di Wormhole Bridge, portando complessivamente al furto di un miliardo di dollari.