Harmony Hacker odmietla ponuku Whitehat vo výške 1 milióna dolárov a začala prať ukradnuté prostriedky

Koncom minulého týždňa bol využitý most Harmony Protocol do sietí BSC a Ethereum, čo viedlo k strate ETH v hodnote 100 miliónov dolárov.

Po prekvapivo ohromujúcom vyhlásení, že aspoň bitcoinový most nebol ovplyvnený, tím Harmony oznámila, že spolupracujú s „národnými orgánmi a forenznými špecialistami“ s cieľom získať ukradnuté finančné prostriedky od zatiaľ neidentifikovaných vykorisťovateľov.

Vylepšené zabezpečenie viacerých značiek

Vzhľadom na to, že zneužitie bolo vykonané zneužitím slabého zabezpečenia viacznačkovej peňaženky Harmony, vývojári projektu od r. zmenený predchádzajúce multi-sig nastavenie – vyžadujúce 2 zo 4 podpisov na spracovanie transakcie – na nastavenie 4 z 5 podpisov.

„Od incidentu sme migrovali ethereovú stranu mosta Horizon na 4 z 5 multi-sig. Budeme pokračovať v podnikaní krokov na ďalšie posilnenie našej prevádzky a bezpečnosti infraštruktúry. Opakujem, sme uprostred prebiehajúceho vyšetrovania. Budeme aj naďalej všetkých informovať a vážime si vašu trpezlivosť a podporu.“

Aj keď bola zraniteľnosť pôvodne hlásená nezávislými výskumníkmi v apríli opravená až po katastrofe, je lepšie neskoro ako nikdy. Tím sa tiež pokúsil vrátiť čas na minulé zlyhania a ponúkol zakopanie vojnovej sekery, ak sa vráti 99 % prostriedkov – tento návrh sa väčšinou stretol so šibeničným humorom a všeobecným posmechom komunity Harmony.

Zaväzujeme sa vyplatiť odmenu 1 milión USD za vrátenie preklenovacích prostriedkov Horizon a zdieľanie informácií o využívaní.

Kontaktujte nás na adrese [chránené e-mailom] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Harmony bude obhajovať žiadne trestné obvinenia, keď sa finančné prostriedky vrátia.

— Harmónia? (@harmonyprotocol) Júna 26, 2022

Olivová ratolesť úplne ignorovaná

Na rozdiel od šťastných koniec k debaklu optimizmu začiatkom tohto mesiaca sa vykorisťovateľ Harmony neodhodlal odpovedať na ponuku odmeny 1 milión dolárov a zrušil obvinenia výmenou za vrátenie zvyšného ukradnutého ETH.

Namiesto toho vykorisťovateľ pokračoval v praní špinavého ETH prostredníctvom TornadoCash, služby často používanej kyberzločincami, aby zahmlili pôvod zle splodených kryptotokenov.

#PeckShieldAlert ~ 18 tis $ ETH (~22 m) na 0x1e…6430 od @harmonyprotokol vykorisťovateľov pic.twitter.com/NN4j5Korsz

—PeckShieldAlert (@PeckShieldAlert) Júna 27, 2022

Ukradnuté aktíva sa perú v rámci viacerých transakcií rýchlosťou 100 ETH zhruba každých 6 minút. V čase písania tohto článku už bolo cez TornadoCash smerované ETH v hodnote viac ako 50 miliónov dolárov, čo znamená odmietnutie podmienok Harmony.

Keďže srdečný – aj keď ohromujúci – pokus o priateľské vyriešenie problému nevyšiel, Harmony sa bude musieť spoľahnúť na forenzných špecialistov a úrady, ktorých privolali v čase útoku.

Ani im však nie je zaručené, že situáciu vyriešia. Ak všetko ostatné zlyhá, táto séria podujatí by mala aspoň otvoriť oči tým v komunite, ktorí nemusia brať bezpečnosť svojich projektov dostatočne vážne.