Hackers roban US$100 millones tras explotar eslabón débil del ecosistema cripto

Blockchain Harmony dijo que el hackeo de su puente Horizon, que permite intercambiar monedas entre diferentes blockchains, tuvo lugar el jueves por la mañana

Por

Bloomberg — Piratas informáticos robaron unos US$100 millones de un puente cripto (bridge), exponiendo de nuevo una vulnerabilidad clave en el ecosistema de activos digitales.

Blockchain Harmony dijo en un tuit que el hackeo de su puente Horizon, que permite intercambiar monedas entre diferentes blockchains, tuvo lugar el jueves por la mañana. Dijeron que han “comenzado a trabajar con las autoridades nacionales y los especialistas forenses para identificar al culpable y recuperar los fondos robados.”

La mayor parte del ecosistema cripto está dividido en silos: las redes de Bitcoin y Ethereum, por ejemplo, sólo pueden funcionar con tokens de bitcoin (XBT) y ethereum (XET). A medida que más criptomonedas ganan adopción y los operadores exigen la capacidad de interactuar sin dificultades, proyectos como Harmony están desarrollando plataformas conocidas como puentes que pueden aceptar una variedad de tokens y moverlos con fluidez entre blockchains.

Pero estos son especialmente vulnerables a los hackeos, ya que su tecnología es compleja y a menudo están dirigidos por equipos anónimos. El modo en que aseguran los fondos suele ser poco claro. Hackers sofisticados los han atacado en repetidas ocasiones.

El token nativo de Harmony, que se utiliza para pagar las tasas de transacción, obtener recompensas o votar sobre cambios en la plataforma, cayó un 12% en las últimas 24 horas, según CoinGecko. La blockchain subyacente de Harmony tiene más de US$1.000 de valor total bloqueado en el proyecto, según su sitio web.

No estaba claro de inmediato si los fondos de algún usuario habían sido robados.

Clave privada comprometida

El ataque a Horizon, que ofrece transferencias a través de la cadena entre Ethereum y la Smart Chain de Binance, representa el tercer gran hackeo de un puente este año. En febrero, hackers robaron más de US$300 millones del puente Wormhole, seguido de uno de US$620 millones del puente Ronin un mes después.

Incluso antes del hackeo de Horizon, se habían robado más de US$1.000 millones de puentes, según estimaciones del investigador Chainalysis.

En el caso de Horizon, “el robo parece haberse producido debido a un compromiso de una clave privada”, dijo Xuxian Jiang, CEO de la empresa de seguridad PeckShield, con la que Harmony se ha puesto en contacto para solicitar apoyo. Harmony no respondió inmediatamente a solicitudes de comentarios.

Horizon está gestionado y asegurado por cuatro billeteras, dijo Jiang, y se requiere una autenticación de al menos dos de ellas -cada una apoyada por múltiples firmas- para validar y ejecutar una transacción. En esta ocasión, un atacante fue capaz de comprometer la información privada necesaria para acceder a estas billeteras, y luego desencadenar transacciones que retiraron activos del puente Horizon a una billetera externa, dijo Jiang.

Los piratas informáticos se hicieron con criptomonedas como ether y BNB, así como con stablecoins Tether, USDC y DAI, dijo el investigador Elliptic en un tweet. Esos tokens fueron luego cambiados por ether usando los llamados intercambios descentralizados en lo que Elliptic llamó “una técnica comúnmente vista con estos hackeos.”

Hackeo a Ronin

Horizon utiliza un mecanismo de seguridad similar al empleado por Ronin, vinculado al popular juego de blockchain Axie Infinity, que requería la firma de cinco de los nueve validadores necesarios en el momento en que fue hackeado. Harmony es popular por juegos de blockchain como Mars Colony y DeFi Kingdoms, según su página web.

Tras el ataque a Ronin, que se atribuyó a un grupo de hackers norcoreanos, su propietario, Sky Mavis, aumentó considerablemente el número de validadores necesarios para firmar las transacciones, y prometió que llegaría a superar los 100.

El ataque al puente Horizon siguió a un ataque relacionado con cinco billeteras de usuarios en la red de Harmony en enero, en el que la empresa dijo que un ladrón había desviado 19.314.598 tokens de ONE, con un valor aproximado de US$5,8 millones en ese momento.

La cantidad de dinero bloqueado en los puentes conectados a la blockchain de Ethereum se redujo en un 60% en los últimos 30 días a menos de US$12.000 millones, según el rastreador Dune, provocado por una caída más amplia del mercado cripto y las preocupaciones de liquidez que rodean a varios grandes jugadores de criptomonedas como Celsius Network, Babel Finance, Three Arrows Capital y Voyager Digital.

--Con la ayuda de Suvashree Ghosh y Tanzeel Akhtar.