Koncom minulého týždňa bol využitý most Harmony Protocol do sietí BSC a Ethereum, čo viedlo k strate ETH v hodnote 100 miliónov dolárov.
Po prekvapivo ohromujúcom vyhlásení, že aspoň bitcoinový most nebol ovplyvnený, tím Harmony oznámila, že spolupracujú s „národnými orgánmi a forenznými špecialistami“ s cieľom získať ukradnuté finančné prostriedky od zatiaľ neidentifikovaných vykorisťovateľov.
Vylepšené zabezpečenie viacerých značiek
Vzhľadom na to, že zneužitie bolo vykonané zneužitím slabého zabezpečenia viacznačkovej peňaženky Harmony, vývojári projektu od r. zmenený predchádzajúce multi-sig nastavenie – vyžadujúce 2 zo 4 podpisov na spracovanie transakcie – na nastavenie 4 z 5 podpisov.
„Od incidentu sme migrovali ethereovú stranu mosta Horizon na 4 z 5 multi-sig. Budeme pokračovať v podnikaní krokov na ďalšie posilnenie našej prevádzky a bezpečnosti infraštruktúry. Opakujem, sme uprostred prebiehajúceho vyšetrovania. Budeme aj naďalej všetkých informovať a vážime si vašu trpezlivosť a podporu.“
Aj keď bola zraniteľnosť pôvodne hlásená nezávislými výskumníkmi v apríli opravená až po katastrofe, je lepšie neskoro ako nikdy. Tím sa tiež pokúsil vrátiť čas na minulé zlyhania a ponúkol zakopanie vojnovej sekery, ak sa vráti 99 % prostriedkov – tento návrh sa väčšinou stretol so šibeničným humorom a všeobecným posmechom komunity Harmony.
Zaväzujeme sa vyplatiť odmenu 1 milión USD za vrátenie preklenovacích prostriedkov Horizon a zdieľanie informácií o využívaní.
Kontaktujte nás na adrese [chránené e-mailom] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony bude obhajovať žiadne trestné obvinenia, keď sa finančné prostriedky vrátia.
— Harmónia? (@harmonyprotocol) Júna 26, 2022
Olivová ratolesť úplne ignorovaná
Na rozdiel od šťastných koniec k debaklu optimizmu začiatkom tohto mesiaca sa vykorisťovateľ Harmony neodhodlal odpovedať na ponuku odmeny 1 milión dolárov a zrušil obvinenia výmenou za vrátenie zvyšného ukradnutého ETH.
Namiesto toho vykorisťovateľ pokračoval v praní špinavého ETH prostredníctvom TornadoCash, služby často používanej kyberzločincami, aby zahmlili pôvod zle splodených kryptotokenov.
#PeckShieldAlert ~ 18 tis $ ETH (~22 m) na 0x1e…6430 od @harmonyprotokol vykorisťovateľov pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) Júna 27, 2022
Ukradnuté aktíva sa perú v rámci viacerých transakcií rýchlosťou 100 ETH zhruba každých 6 minút. V čase písania tohto článku už bolo cez TornadoCash smerované ETH v hodnote viac ako 50 miliónov dolárov, čo znamená odmietnutie podmienok Harmony.
Keďže srdečný – aj keď ohromujúci – pokus o priateľské vyriešenie problému nevyšiel, Harmony sa bude musieť spoľahnúť na forenzných špecialistov a úrady, ktorých privolali v čase útoku.
Ani im však nie je zaručené, že situáciu vyriešia. Ak všetko ostatné zlyhá, táto séria podujatí by mala aspoň otvoriť oči tým v komunite, ktorí nemusia brať bezpečnosť svojich projektov dostatočne vážne.
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/