FRAX, WETH, AAVE, SUSHI, FXS, AAG, BUSD, DAI, USDT, WBTC i USDC zostały skradzione we wczorajszym ataku. Operatorem Horizon jest zespół Harmony, który od razu po zidentyfikowaniu kradzieży zatrzymał możliwość korzystania z mostu. W tweecie napisano także, że powiadomiono władze oraz rozpoczęto współpracę z ekspertami w celu identyfikacji sprawców.
1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.
— Harmony ???? (@harmonyprotocol) June 23, 2022
More ????
Za atak odpowiada ten adres, który wymienił skradzione tokeny na 85867 ETH, którego aktualna wartość to niecałe 100 mln USD.
Wygląda na to, że spełniły się obawy założyciela funduszu inwestycyjnego Chainstride Capital, który już w kwietniu wyraził obawy co do portfela multisig Horizon na Ethereum, który wymagał tylko dwóch z czterech sygnatariuszy, aby opróżnić fundusze. Ape Dev stwierdził, że mała liczba wymaganych podpisujących pozostawiłaby most otwarty dla kolejnego ogromnego eksploitu.
Since the current narative du-jour is bridges & bridge hacks, I wanted to do some digging on the harmony bridge on Ethereum which secures ~$330m worth of tokens.
— Ape Dev (@_apedev) April 1, 2022
Konta multisig to ciągły problem bezpieczeństwa. Most Ronin został zabezpieczony przez dziewięć walidatorów, z których tylko pięć było wymaganych do weryfikacji transakcji, co pozwoliło przejąć kontrolę nad aktywami o wartości ponad 600 milionów dolarów.
W styczniu swoje obawy dotyczące mostów wyraził także Vitalik Buterin, który stwierdził, że mosty mają fundamentalne problemy z bezpieczeństwem. Co ciekawe od jego wpisu mosty zostały zhakowane na niemal 1 mld USD.