L’Horizon Bridge di Harmony Protocol è stato violato da un attacco che ha derubato il protocollo per l’equivalente di circa 100 milioni di dollari, stando a quanto ha riportato l’account Twitter ufficiale di Harmony Protocol.

La società di software Metaverse, AAG Ventures, ha subito il maggior peso. Dei ca. $ 100 milioni persi nell’hacking, AAG ha perso ben 84 milioni di dollari in asset crittografici.

hacker harmony one horizon

Ora, AAG ha annunciato di essere riuscita a congelare 78 milioni di dollari degli 84 milioni sottratti.

Attacco hacker ad Harmony Protocol, cosa è successo

Il protocollo Harmony ha annunciato di aver fermato il bridge Horizon per garantire la sicurezza dei fondi rimanenti. Hanno anche rivelato di essersi messi subito all’opera lavorando con le autorità e gli esperti forensi per recuperare l’importo prelevato.

Harmony ha pubblicato l’indirizzo Ethereum del malfattore e ha rivelato che il bridge trustless di BTC non è stato influenzato dalla vicenda. In un Tweet a parte, hanno poi chiesto uno sforzo congiunto per costruire più bridge trustless che vadano a garantire al protocollo una maggiore sicurezza.

Mudit Gupta, un ricercatore di sicurezza e CISO di Polygon, ha rivelato che l’Horizon Bridge stava utilizzando un meccanismo multi-firma per raggiungere il consenso. Delle 5 firme, se 2 qualsiasi concordassero su una transazione, andrebbe a buon fine. Apparentemente lo sfruttatore ha compromesso 2 firme ed è stato in grado di drenare ben 100 milioni di dollari in cripto asset.

Cos’è Harmony Protocol

Harmony è una blockchain layer 1 costruita nel 2018 e lanciata nel 2019 da Stephen Tse con l’obiettivo di risolvere il persistente “trilemma della blockchain”, ossia il problema ancora aperto del riuscire a bilanciare la scalabilità di una rete con la sicurezza e il decentramento.

Harmony è stato lanciato tramite Binance Launchpad e ha incassato 23 milioni a maggio 2019 e ora ha una capitalizzazione di mercato totale di $ 1,5 miliardi. È compatibile con la rete Ethereum e include un token chiamato ONE che i validatori possono coniare da soli e prelevare sotto forma di commissioni di transazione.

I suoi sviluppatori si vantano che la rete può gestire 2.000 transazioni al secondo, ognuna delle quali impiega in media 2 secondi per essere validata. La transazione media su Ethereum vera e propria, al contrario, richiede circa dieci minuti. Le commissioni sono più basse, grazie a un procedimento simile, di 1.000 volte.

Harmony incorpora anche una funzionalità cross-chain chiamata Horizon, la parte vittima dell’hack di oggi, che consente ai titolari di spostare comodamente risorse crittografiche tra ONE e la rete Ethereum. Ciò significa che gli utenti possono avvalersi sia della sicurezza della rete di livello 1 che dell’efficienza della rete di livello 2.

Un problema di vulnerabilità del protocollo?

Mudit ha anche rivelato come l’exploit potrebbe non avere nulla a che fare con alcuna vulnerabilità nell’Horizon Bridge o qualsiasi altro problema relativo alla sicurezza della blockchain sottostante. In effetti, l’attacco potrebbe tranquillamente esser stato avanzato a livello dei server che eseguivano i due portafogli responsabili della verifica di qualsiasi transazione. L’hack che ha interessato Harmony è peraltro molto simile all’attacco che ha preso di mira Ronin sottraendo l’incredibile cifra di 600 milioni di dollari.

Come ha fatto AAG a recuperare le sue perdite

AAG aveva collaborato con Lossless DeFi e stava utilizzando il loro strumento di mitigazione per proteggere i suoi fondi. Di conseguenza, Looseless è riuscita a congelare circa 78 milioni degli 84 milioni di dollari persi da AAG a causa dell’attacco hacker.

Per un colpo di fortuna, i Lossless avevano lanciato il loro protocollo su Harmony solo un giorno fa, e con una tempestività degna dei migliori film di spionaggio di Hollywood, sono stati in grado di intervenire e farsi trovare pronti subito dopo l’attacco avanzato qualche ora fa.