Les 100 millions du hack Harmony disparaissent sur Tornado Cash

Impossible de négocier – Chaque semaine, ou presque, l’écosystème DeFi est la cible d’attaques. Dans certains cas, les développeurs arrivent à négocier avec l’attaquant pour récupérer les fonds. Ce n’est malheureusement pas le cas du protocole Harmony, dont le hacker commence à blanchir les fonds sur Tornado Cash

Harmony : 100 millions de $ dérobés et tentative de négociation

Harmony est une blockchain de type layer 1 EVM-compatible. Pour se connecter au reste de l’écosystème DeFi, les développeurs ont mis au point Horizon, un pont (ou bridge) reliant la blockchain Harmony à Ethereum et la BNB Smart Chain. 

Le 24 juin dernier, la blockchain Harmony a été victime d’une attaque d’envergure. Ainsi, au moins deux clés privées ont été compromises et sont tombées entre les mains de l’attaquant. 

Grâce à ces clés privées, celui-ci a été en mesure de prendre le contrôle du smart contract du pont Horizon. En effet, le contrôle du smart contract était régis par une adresse multisignature. En pratique, seuls 2 des 5 signatures étaient nécessaires pour interagir avec le contrat en tant qu’administrateur. 

L’attaquant a ensuite retirer de large portions de liquidités du pont, amenant son larcin total à 100 millions de dollars en BUSB, USDC, ETH et WBTC. 

Une fois le hack découvert, les équipes d’Harmony ont mis à jour le contrat Horizon en augmentant la limite de signature du multisig de 2 à 4 signatures minimum. 

De surcroit, les équipes ont annoncé avoir entrepris une enquête pour découvrir l’identité de l’attaquant. En parallèle, celles-ci ont également tenté d’entrer en contact avec le hacker afin de négocier. 

Ainsi, Harmony a proposé une récompense de 1 million de dollars de bug bounty en échange de la restitution intégrale des fonds. 

« Nous nous engageons à verser une prime de 1 million de dollars pour le retour des fonds du bridge Horizon et le partage des informations sur l’exploitation [de faille]. (…) Harmony plaidera pour qu’aucune charge criminelle ne soit retenue lorsque les fonds seront rendus. »

Logo d'Harmony, blockchain hackée il y a peu.

>> Jouez la sécurité, inscrivez-vous sur FTX la référence des exchanges crypto (lien affilié) <<

Les fonds d’Harmony envoyés sur Tornado Cash

Malheureusement, les équipes d’Harmony n’ont à ce jour eu aucune réponse de la part de l’attaquant. 

Pire même, celui-ci a commencé à déplacer les fonds dans le but de brouiller les pistes. Ainsi, le 27 juin, l’entreprise PeckShield a alerté la communauté que l’attaquant commençait à déplacer son larcin. 

Tweet publié par PeckShield.
Tweet publié par PeckShield.

En effet, celui-ci a transféré plus de 6 000 ETH, soit un peu plus de 7 millions de dollars, vers le protocole Tornado Cash. À titre informatif, Tornado Cash est un protocole permettant de réaliser des transactions anonymes sur Ethereum. 

Celui-ci a ensuite réalisé au moins 3 autres transferts de 6 000 ETH via Tornado Cash, en passant par plusieurs adresses différentes. Au total, plus de 24 000 ETH ont pour le moment transité par Tornado Cash. Cela représente près de 29 millions de dollars, soit un peu moins d’un tiers du butin total. 

En parallèle de cette affaire, un autre pont ayant été victime d’un hack refait parler de lui. Ainsi, les équipes de Ronin ont annoncé la réouverture de leur pont et le remboursement intégral des fonds dérobés. Au total, 600 millions de dollars avaient été siphonnés par un hacker. 

Restez loin des spammeurs et escrocs de tout poil, fuyez comme la peste les propositions trop belles pour être vraies et prenez l’habitude de faire preuve d’une saine méfiance. En revanche, apprenez également à accorder une confiance raisonnable aux acteurs respectables et reconnus de l’écosystème. La plateforme FTX rentre sans l’ombre d’un doute dans cette seconde catégorie. Venez acquérir et trader vos premiers bitcoins et autres cryptomonnaies en vous inscrivant sur FTX. Vous y bénéficierez d’une réduction à vie sur vos frais de transactions (lien affilié). 

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour