Passfolio

O recente hack na Horizon já havia sido previsto por @_apedev e soma mais de US $100 milhões nos tokens: FRAX, FXS, wETH, wBTC, AAVE, SUSHI, USDT e BUSD.

Como foi o hack na Horizon?

Horizon (HZN) é uma plataforma de ponte cross-chain construída na blockchain da Harmony (ONE) – que permite aos usuários enviarem e receberem tokens entre Harmony, Ethereum e BNB Chain.

É fato conhecido que estes serviços de ‘bridge’ são alvos muito explorados para ‘hackers’ e ladrões digitais, já que, normalmente, são serviços centralizados que fazem a custódia de milhares de tokens de milhares de usuários e possuem uma pior infraestrutura de segurança que as exchanges, por exemplo.

Exemplos recentes de casos são o da Wormhole (fevereiro/2022) e o da Ronin Network (março/2022).

Segundo especialistas em segurança, o roubo na Horizon não envolveu uma falha de código dos contratos inteligentes em blockchain, mas teve um aspecto mais tradicional de invasão de banco de dados e engenharia social – apesar de que tudo ainda é especulação e não se sabe ao certo os vetores de ataque utilizados.

Conforme explicado pela própria equipe da plataforma no Twitter, foram roubados US $100.000.000 em tokens diversos. Entre eles: Frax (FRAX), Frax Shares (FXS), Wrapped Ether (wETH), Wrapped Bitcoin (wBTC), Aave (AAVE), Sushiswap (SUSHI), TetherUSD (USDT) e BinanceUSD (BUSD).

Aparentemente o atacante ainda não utilizou serviços de anonimato como o Tornado Cash para esconder os frutos do hack na Horizon, o que deve facilitar para as autoridades – que estão trabalhando com a equipe da HZN – o encontrarem em algum momento.

A principal suspeita é de que o ‘hacker’ conseguiu acesso de duas das cinco chaves privadas que assinam a carteira multi-sig responsável pela custódia dos fundos dos usuários na Horizon.

Vetor de ataque para o roubo havia sido previsto por Ape Dev

O mais surpreendente é que este vetor de ataque utilizado no hack da Horizon já havia sido previsto pelo fundador da Chainstride Capital, que utiliza o pseudônimo Ape Dev (@_apedev), em abril deste ano.

Ele havia compartilhado em seu twitter dizendo que “um roubo de 9 dígitos seria possível caso alguém conseguisse acesso à 2 das 4 chaves que assinam a carteira de custódia”.

Este fato, no entanto, foi deliberadamente ignorado pela equipe da Horizon, que nesta sexta-feira anunciou ter sido vítima do roubo.

Leia mais:

Passfolio