Koncem minulého týdne byl využit most Harmony Protocol k sítím BSC a Ethereum, což vedlo ke ztrátě ETH v hodnotě 100 milionů dolarů.
Po podivně ohromujícím prohlášení, že alespoň bitcoinový most nebyl ovlivněn, tým Harmony oznámila, že spolupracují s „národními úřady a forenzními specialisty“, aby získali zpět ukradené finanční prostředky od dosud neidentifikovaných vykořisťovatelů.
Vylepšené zabezpečení Multi-Sig
Vzhledem k tomu, že zneužití bylo provedeno zneužíváním slabého zabezpečení víceznačkové peněženky Harmony, vývojáři projektu od té doby změnit předchozí multi-sig nastavení – vyžadující 2 ze 4 podpisů pro zpracování transakce – na nastavení 4 z 5 podpisů.
„Od incidentu jsme přestěhovali ethereovou stranu mostu Horizon na 4 z 5 multi-sig. Budeme i nadále podnikat kroky k dalšímu posílení našich operací a zabezpečení infrastruktury. Abych to zopakoval, jsme uprostřed probíhajícího vyšetřování. Budeme i nadále všechny informovat a oceňujeme vaši trpělivost a podporu.“
Ačkoli zranitelnost původně hlášená nezávislými výzkumníky v dubnu byla opravena až po katastrofě, je lepší pozdě než nikdy. Tým se také pokusil vrátit čas na minulá selhání a nabídl zakopání válečné sekery, pokud se vrátí 99 % prostředků – tento návrh se většinou setkal s šibeničním humorem a obecným posměchem komunity Harmony.
Zavazujeme se vyplatit odměnu 1 milion USD za vrácení překlenovacích fondů Horizon a sdílení informací o zneužití.
Kontaktujte nás na adrese [chráněno e-mailem] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony bude prosazovat, aby při vrácení finančních prostředků nebyla obviněna z trestného činu.
— Harmonie? (@harmonyprotocol) Června 26, 2022
Olivová ratolest zcela ignorována
Na rozdíl od šťastných konec k debaklu Optimismu na začátku tohoto měsíce se vykořisťovatel Harmony neodhodlal odpovědět na nabídku odměny 1 milion dolarů a stáhl obvinění výměnou za vrácení zbývajícího ukradeného ETH.
Místo toho vykořisťovatel přistoupil k praní staženého ETH prostřednictvím TornadoCash, což je služba často používaná kyberzločinci, aby zatemnili původ špatně zplozených kryptotokenů.
#PeckShieldAlert ~ 18k $ ETH (~22 m) do 0x1e…6430 od @harmonyprotokol vykořisťovatelé pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) Června 27, 2022
Odcizená aktiva se perou v několika transakcích rychlostí 100 ETH zhruba každých 6 minut. V době psaní tohoto článku již bylo přes TornadoCash směrováno ETH v hodnotě více než 50 milionů dolarů, což znamená odmítnutí podmínek Harmony.
Vzhledem k tomu, že srdečný – i když zdrcující – pokus o přátelské vyřešení problému nevyjde, Harmony se bude muset spolehnout na forenzní specialisty a úřady, které vyvolali v době útoku.
Ani jim však není zaručeno, že se jim podaří situaci vyřešit. Pokud vše ostatní selže, tato série akcí by měla alespoň otevřít oči těm v komunitě, kteří možná neberou bezpečnost svých projektů dostatečně vážně.
Binance zdarma 100 $ (exkluzivně): Použijte tento odkaz zaregistrovat se a získat 100 $ zdarma a 10% slevu na poplatky na Binance Futures první měsíc (podmínky).
Speciální nabídka PrimeXBT: Použijte tento odkaz registrujte se a zadejte kód POTATO50, abyste získali až 7,000 XNUMX $ na své vklady.
Zdroj: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/