Ein Hacker hat eine Schwachstelle ausgenutzt, um 100 Millionen US-Dollar von Harmonys Horizon Bridge zu stehlen, die es Benutzern ermöglicht, ihre Krypto-Assets von einer Blockchain auf eine andere zu übertragen.
Harmony, das US-Krypto-Startup hinter Horizon, sagte in einem Blogbeitrag am Freitag, dass es am Donnerstag über einen „böswilligen Angriff“ auf seine proprietäre Horizon-Blockchain-Brücke informiert wurde. Blockchain-Bridges, auch bekannt als Cross-Chain-Bridges, erleichtern die Kommunikation zwischen verschiedenen Blockchains und ermöglichen es Benutzern, Assets von einer Kette zur anderen zu senden. Mit der Horizon Bridge von Harmony können Benutzer beispielsweise Assets – einschließlich Token, Stablecoins und NFTs – zwischen Ethereum, Binance Smart Chain und Harmony-Blockchains verschieben.
Harmony sagte, der Schuldige des Angriffs – den das Unternehmen in einem Tweet herausgegriffen hat – hat fast 100 Millionen Dollar an Kryptowährung von seiner Blockchain-Brücke gestohlen.
Laut dem Blockchain-Analyseunternehmen Elliptic wurden verschiedene Krypto-Assets entwendet, darunter Ethereum, Binance Coin, Tether, USD Coin und Dai. Elliptic fügte hinzu, dass die gestohlenen Token nun über dezentralisierte Börsen gegen Ethereum eingetauscht wurden – eine „allgemein gesehene Technik bei diesen Hacks“, hieß es.
Harmony sagte in seinem Blogbeitrag, dass unmittelbar nach dem Angriff mehrere Cybersicherheitspartner, Austauschpartner und das FBI benachrichtigt und gebeten wurden, bei einer Untersuchung zur Identifizierung des Schuldigen und zur Wiederbeschaffung gestohlener Vermögenswerte zu helfen. „Außerdem hat das Team versucht, mit dem Hacker mit einer eingebetteten Nachricht in einer Transaktion an die Adresse des Täters zu kommunizieren“, heißt es in dem Blogbeitrag.
Harmony fügte hinzu, dass es die Horizon Bridge gestoppt habe, um weitere Transaktionen zu verhindern. Harmony’s Bridge für Bitcoin war unberührt.
„Dieser Vorfall ist eine demütigende und unglückliche Erinnerung daran, wie wichtig unsere Arbeit für die Zukunft dieses Raums ist und wie viel von unserer Arbeit noch vor uns liegt“, heißt es in dem Blogbeitrag. „Laufende Untersuchungen stellen eine Herausforderung dar, welche Informationen mit der Öffentlichkeit geteilt werden dürfen, aber wir werden weiterhin Updates mit den neuesten Informationen bereitstellen, sobald wir in der Lage sind, sie zu teilen.“
Harmony hat nicht genau verraten, wie die Gelder gestohlen wurden, und hat sich auf Anfrage von Tech nicht geäußert.
Allerdings ein Investor wer geht durch den Griff Ape Dev hatte bereits im April Bedenken hinsichtlich der Sicherheit seiner Horizon-Brücke. Der Forscher warnte auf Twitter, dass die Sicherheit der Horizon-Bridge von einer Multisignatur- oder „Multisig“-Brieftasche abhängt, die nur zwei Signaturen benötigt, um Transaktionen einzuleiten. Multisig-Wallets erfordern die Zustimmung mehrerer Parteien, um zusätzliche Sicherheit bei Transaktionen zu gewährleisten.
„Alles in allem, wenn zwei der vier Multisig-Unterzeichner kompromittiert werden, werden wir einen weiteren neunstelligen Hack sehen“, schrieb Ape Dev, Gründer des Krypto-Venture-Fonds Chainstride Capital, am 1. April in letzter Zeit passiert, wäre es interessant, einige Details zu hören @Harmonieprotokoll wie diese [externally owned accounts] gesichert sind.“
Der Harmony-Bridge-Hack folgt einer Reihe bemerkenswerter Angriffe auf andere Blockchain-Bridges. Das Ronin Network, eine auf Ethereum basierende Sidechain, die für das beliebte Play-to-Earn-Spiel Axie Infinity entwickelt wurde, verlor im März mehr als 600 Millionen Dollar, ein Angriff, den US-Beamte seitdem mit der staatlich unterstützten nordkoreanischen Hacking-Gruppe Lazarus in Verbindung gebracht haben. In ähnlicher Weise verlor die dezentrale Finanzplattform Wormhole im Februar fast 325 Millionen US-Dollar an Hacker, nachdem sie eine Sicherheitslücke in ihrem intelligenten Vertragscode ausgenutzt hatten.