Ein Hacker hat eine Schwachstelle ausgenutzt, um 100 Millionen Dollar von Harmony’s Horizon Bridge zu stehlen, die es Benutzern ermöglicht, ihre Krypto-Assets von einer Blockchain auf eine andere zu übertragen.
Harmony, das US-Krypto-Startup hinter Horizon, sagte am Freitag in einem Blogbeitrag, dass es am Donnerstag über einen „böswilligen Angriff“ auf seine proprietäre Horizon-Blockchain-Brücke informiert wurde. Blockchain-Bridges, auch bekannt als Cross-Chain-Bridges, erleichtern die Kommunikation zwischen verschiedenen Blockchains und ermöglichen es Benutzern, Assets von einer Kette zur anderen zu senden. Mit der Horizon Bridge von Harmony können Benutzer beispielsweise Assets – einschließlich Token, Stablecoins und NFTs – zwischen Ethereum, Binance Smart Chain und Harmony-Blockchains verschieben.
Harmony sagte, der Schuldige des Angriffs – den das Unternehmen in einem Tweet herausgegriffen hat – hat fast 100 Millionen Dollar an Kryptowährung von seiner Blockchain-Brücke gestohlen.
1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.
More 🧵
— Harmony 💙 (@harmonyprotocol) June 23, 2022
Laut dem Blockchain-Analyseunternehmen Elliptic wurden verschiedene Krypto-Assets entwendet, darunter Ethereum, Binance Coin, Tether, USD Coin und Dai. Elliptic fügte hinzu, dass die gestohlenen Token nun über dezentralisierte Börsen gegen Ethereum eingetauscht wurden – eine „allgemein gesehene Technik bei diesen Hacks“, hieß es.
Harmony sagte in seinem Blogbeitrag, dass unmittelbar nach dem Angriff mehrere Cybersicherheitspartner, Austauschpartner und das FBI benachrichtigt und gebeten wurden, bei einer Untersuchung zur Identifizierung des Schuldigen und zur Wiederbeschaffung gestohlener Vermögenswerte zu helfen. „Darüber hinaus hat das Team versucht, mit dem Hacker mit einer eingebetteten Nachricht in einer Transaktion an die Adresse des Täters zu kommunizieren“, heißt es in dem Blogbeitrag.
Harmony fügte hinzu, dass es die Horizon Bridge gestoppt habe, um weitere Transaktionen zu verhindern. Harmony’s Bridge für Bitcoin war davon nicht betroffen.
„Dieser Vorfall ist eine demütigende und unglückliche Erinnerung daran, wie wichtig unsere Arbeit für die Zukunft dieses Raums ist und wie viel von unserer Arbeit noch vor uns liegt“, heißt es in dem Blogbeitrag. „Laufende Untersuchungen stellen eine Herausforderung dar, welche Informationen mit der Öffentlichkeit geteilt werden dürfen, aber wir werden weiterhin Updates mit den neuesten Informationen bereitstellen, sobald wir in der Lage sind, sie zu teilen.“
Harmony hat nicht genau verraten, wie die Gelder gestohlen wurden, und hat sich auf Anfrage von TechCrunch nicht geäußert.
Ein Investor, der unter dem Namen Ape Dev bekannt ist, hatte jedoch bereits im April Bedenken hinsichtlich der Sicherheit seiner Horizon-Brücke. Der Forscher warnte auf Twitter, dass die Sicherheit der Horizon-Bridge von einer Multisignatur- oder „Multisig“-Brieftasche abhängt, die nur zwei Signaturen benötigt, um Transaktionen einzuleiten. Multisig-Wallets erfordern die Zustimmung mehrerer Parteien, um zusätzliche Sicherheit bei Transaktionen zu gewährleisten.
„Alles in allem, wenn zwei der vier Multisig-Unterzeichner kompromittiert werden, werden wir einen weiteren neunstelligen Hack sehen“, schrieb Ape Dev, Gründer des Krypto-Venture-Fonds Chainstride Capital, am 1. April In letzter Zeit wäre es interessant, einige Details von @harmonyprotocol darüber zu hören, wie diese [extern besessenen Konten] gesichert werden.“
Der Harmony-Bridge-Hack folgt einer Reihe bemerkenswerter Angriffe auf andere Blockchain-Bridges. Das Ronin Network, eine auf Ethereum basierende Sidechain, die für das beliebte Play-to-Earn-Spiel Axie Infinity entwickelt wurde, verlor im März mehr als 600 Millionen Dollar, ein Angriff, den US-Beamte seitdem mit der staatlich unterstützten nordkoreanischen Hacking-Gruppe Lazarus in Verbindung gebracht haben. In ähnlicher Weise verlor die dezentrale Finanzplattform Wormhole im Februar fast 325 Millionen US-Dollar an Hacker, nachdem sie eine Sicherheitslücke in ihrem intelligenten Vertragscode ausgenutzt hatten.