Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 096Bridge-Exploit

Harmony Horizon Bridge

Lazarus kompromittierte zwei von fünf Operator-Multi-Sig-Keys an Harmonys Cross-Chain-Bridge und zog 100 Mio. $ ab; das 2-von-5-Quorum war zu niedrig.

Datum
Opfer
Harmony
Chain(s)
EthereumHarmony
Status
Mittel entwendet
Zurechnung
Lazarus Group / APT38 (DPRK)

Am 24. Juni 2022 zogen Angreifer rund 99,7 Millionen $ in ETH, BNB, USDC, USDT und DAI aus Horizon, der Cross-Chain-Bridge zwischen Harmony, Ethereum und Binance Chain, ab. Das FBI schrieb die Operation später öffentlich Nordkoreas Lazarus Group / APT38 zu.

Was geschah

Die Horizon-Bridge war durch ein 2-von-5-Multi-Signature-Schema gesichert — nur zwei Operator-Signaturen waren nötig, um Withdrawals aus den Bridge-Contracts auf Ethereum und Binance Chain zu autorisieren. Für eine Bridge mit Hunderten Millionen TVL galt eine 2-von-5-Schwelle bereits damals weithin als viel zu niedrig.

Der Angreifer erlangte mindestens zwei der fünf Signing-Keys. Der Kompromittierungs-Vektor war Social Engineering, das auf die Operatoren selbst zielte — TTPs, die eng zu späteren Radiant Capital- und DMM Bitcoin-Operationen passen, die derselben Gruppe zugeschrieben werden.

Mit zwei Keys in der Hand stellte der Angreifer gültige Withdrawal-Autorisierungen aus und drainte die Reserven der Bridge auf Ethereum.

Folgen

  • Harmony pausierte die Bridge binnen Stunden.
  • Binance und Huobi identifizierten und froren rund 2,5 Mio. $ (124 BTC) gestohlener Gelder ein, als sie ihre Adressen durchliefen.
  • Die Harmony Foundation kündigte einen Entschädigungsplan an, finanziert durch neue HRM-Token-Emission — kontrovers in der Community, teilweise umgesetzt.
  • Der Angreifer wusch den Großteil der gestohlenen Gelder über Tornado Cash und nutzte im Januar 2023 RAILGUN (ein damals neueres Privacy-Protokoll), um weitere ETH im Wert von über 60 Mio. $ zu waschen.

Warum es wichtig ist

Harmony war eine von drei großen Bridge-Multi-Sig-Kompromittierungen in einem einzigen Jahr — neben Ronin (625 Mio. $) und BNB Bridge (586 Mio. $). Das Muster machte deutlich, dass N-von-M-Multi-Sig-Bridges mit kleinen Operator-Sets kein verteidigungsfähiges langfristiges Sicherheitsmodell sind. Bis Ende 2022 hatten die meisten großen Bridge-Designs entweder ihr Quorum deutlich erhöht, waren zu Attestation Committees mit explizitem Slashing übergegangen oder hatten Human-Key-Signing vollständig durch On-Chain-Proof-Systeme ersetzt.

Quellen & On-Chain-Belege

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft
  2. [02]elliptic.cohttps://www.elliptic.co/blog/analysis/fbi-confirms-north-korea-s-lazarus-group-as-hackers-behind-100-million-harmony-horizon-bridge-theft
  3. [03]thedefiant.iohttps://thedefiant.io/news/hacks/harmony-hack-lazarus

Verwandte Einträge