Harmony Bridge piraté, 100 millions de dollars d’Ethereum perdus

Le 24 juin, le pont Horizon reliant Harmony – une blockchain PoS de couche 1 conçue pour le jeton natif ONE – à l’écosystème Ethereum et Binance Chain a été piraté, entraînant une perte d’environ 100 millions de dollars en ETH. L’exploit a été annoncé sur Twitter par l’équipe Harmony, qui a déclaré qu’elle cherchait le coupable.

La dernière d’une série de vulnérabilités

1/ L’équipe Harmony a identifié un vol survenu ce matin sur le pont Horizon d’un montant d’env. 100 millions de dollars. Nous avons commencé à travailler avec les autorités nationales et des experts en médecine légale pour identifier le coupable et récupérer les fonds volés.

Plus

— Harmony (@harmonyprotocol) 23 juin 2022

Le pont a depuis été fermé pour éviter de nouvelles pertes. Les développeurs d’Harmony ont également précisé que le pont BTC n’est pas affecté.

L’attaque semble s’être déroulée sur une période de 17 heures, commençant par une transaction d’une valeur colossale de 4 919 ETH, suivie de plusieurs transactions plus petites allant de 911 à 0,0003 ETH. Le dernier a eu lieu après la fermeture du pont.

Le piratage est le dernier d’une série d’exploits affectant l’espace crypto, tels que le drain Axie Infinity, Solana Wormhole ou, plus récemment, le fiasco (égaré) de l’Optimisme. Une autre vulnérabilité récente, l’exploit Demonic, qui affectait plusieurs portefeuilles cryptographiques, a été corrigée avant qu’aucun dommage ne puisse être causé.

Des bourses auraient été notifiées, ainsi que « des autorités nationales et des experts médico-légaux ». Malheureusement pour Harmony, le premier peut ne pas être d’une grande aide si l’identité du pirate est découverte, selon la juridiction dans laquelle le pirate peut se trouver.

« Nous avons également notifié les échanges et arrêté le pont Horizon pour empêcher de nouvelles transactions. L’équipe est sur le pont alors que les enquêtes se poursuivent. Nous tiendrons tout le monde au courant au fur et à mesure que nous enquêterons sur cette question et obtiendrons plus d’informations. »

Avertissement préalable émis par des chercheurs indépendants

Curieusement, un avertissement a été émis par un chercheur indépendant et développeur de blockchain Ape Dev le 2 avril. Dans une série de tweets, Ape Dev a attiré l’attention sur le fait que la sécurité du pont Harmony était construite autour d’un portefeuille multi-signatures avec seulement quatre propriétaires. Il a prédit que cela pourrait être utilisé pour exécuter une attaque très simple en demandant à 2 des propriétaires de signer des transferts d’une valeur allant jusqu’à 330 millions de dollars.

Ses talents de détective ont depuis été reconnus par Brendan Eich, PDG et co-fondateur de Brave.

https://t.co/MCi4MXJuge

— Ape Dev (@_apedev) 24 juin 2022

Il n’est pas clair si l’attaquant d’Harmony a eu l’idée de l’indication d’Ape Dev ou s’il est parvenu à la même conclusion indépendamment. Dans les deux cas, cependant, l’avertissement est venu près de trois mois avant l’événement malheureux, ce qui aurait dû donner aux développeurs d’Harmony suffisamment de temps pour sécuriser leurs systèmes.

Les cyberattaques devenant de plus en plus répandues dans l’espace cryptographique, les normes de sécurité de diverses plates-formes basées sur la blockchain seront probablement examinées par des tiers avec une régularité croissante – et à juste titre.