Piratage d’Harmony : une prime de 1 million de $ si le hacker rend le butin
La voix de la raison pour ce hacker ? – Malheureusement, il est rare dans la cryptosphère qu’une semaine passe sans qu’une faille dans smart contract n’apporte la mauvaise nouvelle d’un piratage. En fin de semaine dernière, c’est le bridge (pont) entre Harmony (ONE) et Ethereum (ETH) qui s’est fait siphonné 85 860 ethers. Le projet tente le tout pour le tout en proposant une prime au pirate.
Un hack permis par la compromission de clés privées
Ce vendredi 24 juin 2022, les équipes d’Harmony Protocol ont annoncé la perte d’environ 100 millions de dollars en ethers sur le Bridge Horizon. Ce dernier permet le change de crypto-actifs d’une blockchain à une autre, en l’occurrence entre Harmony et Ethereum.
D’après The Block, qui rapporte les propos de Mudit Gupta – responsable de la sécurité informatique de Polygon (MATIC) -, le pirate aurait pris le contrôle d’un portefeuille multi-signatures bien particulier. Ce dernier est celui utilisé pour le déploiement du bridge d’Harmony. La hacker aurait ensuite modifier le code de ce protocole de pont, pour pouvoir siphonner les fonds.
Le fondateur et CEO d’Harmony, Stephen Tse, a d’ailleurs confirmé, ce 26 juin, que des clés privées d’accès à ce portefeuille multisig avaient bel et bien été compromises :
« L’équipe a trouvé des preuves que les clés privées ont été compromises, ce qui a conduit à l’attaque sur notre bridge Horizon. Les fonds ont été volés du côté Ethereum du pont. »
1 million $ pour récupérer les cryptos du bridge Harmony
Vu l’ampleur du vol, les équipes d’Harmony seraient prêtes à passer l’éponge si le hacker souhaite restituer les fonds. L’annonce d’une prime de 1 million de dollars pour le pirate a même été faite sur le compte Twitter officiel du projet, si jamais il se repentit :
« Nous nous engageons à verser une prime de 1 million de dollars pour le retour des fonds du bridge Horizon et le partage des informations sur l’exploitation [de faille]. (…) Harmony plaidera pour qu’aucune charge criminelle ne soit retenue lorsque les fonds seront rendus. »
Au moment d’écrire ces lignes, le pirate n’a, à priori, pas donner réponse à la proposition d’Harmony.
Si les équipes de la blockchain ONE espèrent revoir les fonds de leur bridge Horizon, les choses ne se passeront peut-être pas aussi bien que pour Optimism (OP). En effet, dans ce cas, après un piratage ayant détourné 20 millions de tokens OP, le hacker avait restitué 17 millions d’OP, tout en se gardant une grosse prime.