Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 096Exploit de puente

Puente Harmony Horizon

Lazarus comprometió 2 de 5 claves multi-firma del puente cross-chain de Harmony y drenó 100 M$; el quorum 2-de-5 estaba por debajo de su perfil de riesgo.

Fecha
Víctima
Harmony
Cadena(s)
EthereumHarmony
Estado
Fondos robados
Atribución
Lazarus Group / APT38 (DPRK)

El 24 de junio de 2022, atacantes drenaron aproximadamente 99,7 millones de dólares en ETH, BNB, USDC, USDT y DAI de Horizon, el puente cross-chain que conecta Harmony con Ethereum y Binance Chain. El FBI luego atribuyó públicamente la operación al Lazarus Group / APT38 de Corea del Norte.

Qué ocurrió

El puente Horizon estaba asegurado por un esquema multi-firma 2-de-5: solo se requerían dos firmas de operador para autorizar retiros de los contratos del puente en Ethereum y Binance Chain. Para un puente que retenía cientos de millones en TVL, un umbral 2-de-5 era ampliamente considerado demasiado bajo incluso en su momento.

El atacante obtuvo al menos dos de las cinco claves de firma. El vector de compromiso fue ingeniería social dirigida a los propios operadores, TTP que coinciden estrechamente con las operaciones posteriores de Radiant Capital y DMM Bitcoin atribuidas al mismo grupo.

Con dos claves en su poder, el atacante emitió autorizaciones de retiro válidas y drenó las reservas del puente en Ethereum.

Consecuencias

  • Harmony pausó el puente en horas.
  • Binance y Huobi identificaron y congelaron aproximadamente 2,5 M$ (124 BTC) de fondos robados al pasar por sus direcciones.
  • La Harmony Foundation anunció un plan de compensación financiado mediante nueva emisión de tokens HRM, controvertido en la comunidad, parcialmente implementado.
  • El atacante lavó la mayor parte de los fondos robados mediante Tornado Cash y, en enero de 2023, usó RAILGUN (un protocolo de privacidad entonces más nuevo) para lavar 60 M$+ adicionales en ETH.

Por qué importa

Harmony fue uno de los tres compromisos importantes de multi-firma de puente en un solo año, junto con Ronin (625 M$) y BNB Bridge (586 M$). El patrón dejó claro que los puentes multi-firma N-de-M con conjuntos pequeños de operadores no son un modelo de seguridad defendible a largo plazo. Para finales de 2022, la mayoría de los principales diseños de puente habían aumentado sustancialmente su quorum, pasado a comités de atestación con slashing explícito, o reemplazado por completo la firma con claves humanas por sistemas de prueba on-chain.

Fuentes y evidencia on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft
  2. [02]elliptic.cohttps://www.elliptic.co/blog/analysis/fbi-confirms-north-korea-s-lazarus-group-as-hackers-behind-100-million-harmony-horizon-bridge-theft
  3. [03]thedefiant.iohttps://thedefiant.io/news/hacks/harmony-hack-lazarus

Registros relacionados