I ponti a catena incrociata sono un obiettivo primario per gli exploit.
Secondo la società di intelligence blockchain Elliptic, i famigerati hacker sostenuti dallo Stato della Corea del Nord, Lazarus Group, potrebbero essere dietro l’attacco da 100 milioni di dollari della scorsa settimana al ponte cross-chain di Harmony.
Il 23 giugno Harmony, una blockchain di livello 1, ha riferito che un hacker aveva rubato beni per un valore di nove cifre dal suo ponte cross-chain Horizon, che consente il trasferimento di beni tra Harmony e le reti Smart Chain di Ethereum e Binance. I ponti cross-chain sono stati un obiettivo primario per gli exploit.
Flusso di transazioni
L’autore del furto ha preso una dozzina di asset diversi e ha rapidamente consolidato il bottino in Ethereum utilizzando lo scambio decentralizzato Uniswap. Ha poi iniziato a utilizzare il mixer blockchain Tornado Cash per offuscare e rendere anonimo il flusso di transazioni di molti degli asset rubati a partire dal 27 giugno.
Il 29 giugno, Elliptic ha pubblicato i risultati dell’utilizzo della sua “capacità di demiscelazione” di Tornado Cash per tracciare il movimento dei fondi inviati attraverso Tornado dall’hacker.
“Sembra che sia il gruppo Lazarus il responsabile di questo furto”, ha affermato l’azienda.
Si ritiene che Lazarus abbia rubato oltre 2 miliardi di dollari in asset di criptovalute dagli exchange e dai servizi DeFi. Il gruppo si è interessato alle criptovalute nel 2017, quando ha iniziato a prendere di mira le borse centralizzate sudcoreane, ma si ritiene che Lazarus si sia recentemente orientato verso lo sfruttamento dei ponti tra le catene.
Ad aprile, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato un portafoglio Ethereum coinvolto nell’attacco da circa 615 milioni di dollari che ha colpito il ponte Ronin di Axie Infinity a marzo – il più grande exploit nella storia della DeFi – affermando che il portafoglio è associato a Lazarus. Come il ponte Horizon di Harmony, Ronin era protetto da un semplice conto multi-firma. Ecco perché si consiglia di utilizzare sempre software sicuri come la Bitcode Prime piattaforma, che fa della sicurezza e la privacy i suoi cavalli di battaglia.
Operazioni precedenti
Elliptic ha identificato depositi estremamente regolari verso Tornado dopo l’attacco Harmony, indicativi di un processo automatizzato, concludendo che il movimento di beni era molto simile al “riciclaggio programmatico dei fondi rubati dal ponte Ronin”. Ha notato che i fondi sono stati spostati anche durante le ore notturne nella regione asiatico-pacifica, il che è coerente con le precedenti operazioni di Lazarus.
Il 30 giugno Harmony ha pubblicato su Twitter un appello finale all’autore dell’hacking da 100 milioni di dollari affinché restituisca il 90% dei fondi rubati entro le 23:00 GMT del 4 luglio, in cambio dell’archiviazione di tutte le indagini in corso.
“Harmony ha iniziato una caccia all’uomo a livello globale per trovare il criminale o i criminali che hanno rubato 100 milioni di dollari dal ponte Horizon”, ha dichiarato la società. “Tutte le borse sono state informate. Le forze dell’ordine, Chainalysis e AnChainAI hanno avviato indagini per identificare i responsabili e recuperare i beni rubati. Stiamo offrendo un’opportunità FINALE all’attore o agli attori di restituire i beni rubati con l’anonimato”.
Harmony si è rivolta anche agli associati dei ladri, dichiarando che pagherà 10 milioni di dollari in cambio di informazioni che portino alla restituzione dei fondi rubati.
Caccia all’uomo
L’offerta è stata accolta con scetticismo sui social media, con commentatori che hanno sottolineato come sia improbabile che gli hacker accettino l’offerta di Harmony se l’attacco è stato eseguito da Lazarus, come suggerisce l’analisi di Elliptic.
AswinAdam2 ha twittato “se è stato il gruppo nordcoreano a condurre l’attacco come indicato dai media, allora è meglio passare oltre”. Skenforceone ha aggiunto “Sono abbastanza sicuro che una caccia all’uomo per qualcuno all’interno della Corea del Nord sia inutile”.