Les 100 millions du hack Harmony disparaissent sur Tornado Cash

Impossible de négocier – Chaque semaine, ou presque, l’écosystème DeFi est la cible d’attaques. Dans certains cas, les développeurs arrivent à négocier avec l’attaquant pour récupérer les fonds. Ce n’est malheureusement pas le cas du protocole Harmony, dont le hacker commence à blanchir les fonds sur Tornado Cash. 

Harmony : 100 millions de $ dérobés et tentative de négociation

Harmony est une blockchain de type layer 1 EVM-compatible. Pour se connecter au reste de l’écosystème DeFi, les développeurs ont mis au point Horizon, un pont (ou bridge) reliant la blockchain Harmony à Ethereum et la BNB Smart Chain. 

Le 24 juin dernier, la blockchain Harmony a été victime d’une attaque d’envergure. Ainsi, au moins deux clés privées ont été compromises et sont tombées entre les mains de l’attaquant. 

Grâce à ces clés privées, celui-ci a été en mesure de prendre le contrôle du smart contract du pont Horizon. En effet, le contrôle du smart contract était régis par une adresse multisignature. En pratique, seuls 2 des 5 signatures étaient nécessaires pour interagir avec le contrat en tant qu’administrateur. 

L’attaquant a ensuite retirer de large portions de liquidités du pont, amenant son larcin total à 100 millions de dollars en BUSB, USDC, ETH et WBTC. 

Une fois le hack découvert, les équipes d’Harmony ont mis à jour le contrat Horizon en augmentant la limite de signature du multisig de 2 à 4 signatures minimum. 

De surcroit, les équipes ont annoncé avoir entrepris une enquête pour découvrir l’identité de l’attaquant. En parallèle, celles-ci ont également tenté d’entrer en contact avec le hacker afin de négocier. 

Ainsi, Harmony a proposé une récompense de 1 million de dollars de bug bounty en échange de la restitution intégrale des fonds. 

« Nous nous engageons à verser une prime de 1 million de dollars pour le retour des fonds du bridge Horizon et le partage des informations sur l’exploitation [de faille]. (…) Harmony plaidera pour qu’aucune charge criminelle ne soit retenue lorsque les fonds seront rendus. »

Les fonds d’Harmony envoyés sur Tornado Cash

Malheureusement, les équipes d’Harmony n’ont à ce jour eu aucune réponse de la part de l’attaquant. 

Pire même, celui-ci a commencé à déplacer les fonds dans le but de brouiller les pistes. Ainsi, le 27 juin, l’entreprise PeckShield a alerté la communauté que l’attaquant commençait à déplacer son larcin. 

En effet, celui-ci a transféré plus de 6 000 ETH, soit un peu plus de 7 millions de dollars, vers le protocole Tornado Cash. À titre informatif, Tornado Cash est un protocole permettant de réaliser des transactions anonymes sur Ethereum. 

Celui-ci a ensuite réalisé au moins 3 autres transferts de 6 000 ETH via Tornado Cash, en passant par plusieurs adresses différentes. Au total, plus de 24 000 ETH ont pour le moment transité par Tornado Cash. Cela représente près de 29 millions de dollars, soit un peu moins d’un tiers du butin total. 

En parallèle de cette affaire, un autre pont ayant été victime d’un hack refait parler de lui. Ainsi, les équipes de Ronin ont annoncé la réouverture de leur pont et le remboursement intégral des fonds dérobés. Au total, 600 millions de dollars avaient été siphonnés par un hacker.