Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 096Exploit de pont

Pont Harmony Horizon

Lazarus a compromis 2 des 5 clés multi-sig opérateur du pont cross-chain de Harmony et drainé 100 M$ ; le quorum 2-sur-5 était sous-dimensionné.

Date
Victime
Harmony
Chaîne(s)
EthereumHarmony
Statut
Fonds dérobés
Attribution
Lazarus Group / APT38 (DPRK)

Le 24 juin 2022, des attaquants ont drainé environ 99,7 millions de dollars en ETH, BNB, USDC, USDT et DAI de Horizon, le pont cross-chain reliant Harmony à Ethereum et Binance Chain. Le FBI a plus tard publiquement attribué l'opération au Lazarus Group / APT38 de Corée du Nord.

Ce qui s'est passé

Le pont Horizon était sécurisé par un schéma multi-signatures 2-sur-5 — seulement deux signatures d'opérateurs étaient requises pour autoriser les retraits depuis les contrats du pont sur Ethereum et Binance Chain. Pour un pont détenant des centaines de millions en TVL, un seuil 2-sur-5 était largement considéré comme bien trop bas même à l'époque.

L'attaquant a obtenu au moins deux des cinq clés de signature. Le vecteur de compromission était de l'ingénierie sociale visant les opérateurs eux-mêmes — TTPs qui correspondent étroitement aux opérations plus tardives de Radiant Capital et DMM Bitcoin attribuées au même groupe.

Avec deux clés en main, l'attaquant a émis des autorisations de retrait valides et drainé les réserves du pont sur Ethereum.

Conséquences

  • Harmony a suspendu le pont en quelques heures.
  • Binance et Huobi ont identifié et gelé environ 2,5 M$ (124 BTC) de fonds volés alors qu'ils passaient par leurs adresses.
  • La Harmony Foundation a annoncé un plan d'indemnisation financé par l'émission de nouveaux tokens HRM — controversé dans la communauté, partiellement implémenté.
  • L'attaquant a blanchi l'essentiel des fonds volés via Tornado Cash et, en janvier 2023, a utilisé RAILGUN (un protocole de confidentialité alors plus récent) pour blanchir 60 M$+ supplémentaires en ETH.

Pourquoi c'est important

Harmony était l'une de trois compromissions majeures de multi-sig de pont en une seule année — aux côtés de Ronin (625 M$) et BNB Bridge (586 M$). Le pattern a fait comprendre que les ponts multi-sig N-sur-M avec de petits ensembles d'opérateurs ne sont pas un modèle de sécurité long-terme défendable. À la fin 2022, la plupart des designs de ponts majeurs avaient soit augmenté substantiellement leur quorum, soit migré vers des comités d'attestation avec slashing explicite, soit remplacé entièrement la signature par clés humaines par des systèmes de preuve on-chain.

Sources & preuves on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft
  2. [02]elliptic.cohttps://www.elliptic.co/blog/analysis/fbi-confirms-north-korea-s-lazarus-group-as-hackers-behind-100-million-harmony-horizon-bridge-theft
  3. [03]thedefiant.iohttps://thedefiant.io/news/hacks/harmony-hack-lazarus

Dépôts liés