Harmony Hacker odmítá nabídku Whitehat ve výši 1 milionu dolarů a začíná praní odcizených finančních prostředků

Koncem minulého týdne byl využit most Harmony Protocol k sítím BSC a Ethereum, což vedlo ke ztrátě ETH v hodnotě 100 milionů dolarů.

Po podivně ohromujícím prohlášení, že alespoň bitcoinový most nebyl ovlivněn, tým Harmony oznámila, že spolupracují s „národními úřady a forenzními specialisty“, aby získali zpět ukradené finanční prostředky od dosud neidentifikovaných vykořisťovatelů.

Vylepšené zabezpečení Multi-Sig

Vzhledem k tomu, že zneužití bylo provedeno zneužíváním slabého zabezpečení víceznačkové peněženky Harmony, vývojáři projektu od té doby změnit předchozí multi-sig nastavení – vyžadující 2 ze 4 podpisů pro zpracování transakce – na nastavení 4 z 5 podpisů.

„Od incidentu jsme přestěhovali ethereovou stranu mostu Horizon na 4 z 5 multi-sig. Budeme i nadále podnikat kroky k dalšímu posílení našich operací a zabezpečení infrastruktury. Abych to zopakoval, jsme uprostřed probíhajícího vyšetřování. Budeme i nadále všechny informovat a oceňujeme vaši trpělivost a podporu.“

Ačkoli zranitelnost původně hlášená nezávislými výzkumníky v dubnu byla opravena až po katastrofě, je lepší pozdě než nikdy. Tým se také pokusil vrátit čas na minulá selhání a nabídl zakopání válečné sekery, pokud se vrátí 99 % prostředků – tento návrh se většinou setkal s šibeničním humorem a obecným posměchem komunity Harmony.

Zavazujeme se vyplatit odměnu 1 milion USD za vrácení překlenovacích fondů Horizon a sdílení informací o zneužití.

Kontaktujte nás na adrese [chráněno e-mailem] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Harmony bude prosazovat, aby při vrácení finančních prostředků nebyla obviněna z trestného činu.

— Harmonie? (@harmonyprotocol) Června 26, 2022

Olivová ratolest zcela ignorována

Na rozdíl od šťastných konec k debaklu Optimismu na začátku tohoto měsíce se vykořisťovatel Harmony neodhodlal odpovědět na nabídku odměny 1 milion dolarů a stáhl obvinění výměnou za vrácení zbývajícího ukradeného ETH.

Místo toho vykořisťovatel přistoupil k praní staženého ETH prostřednictvím TornadoCash, což je služba často používaná kyberzločinci, aby zatemnili původ špatně zplozených kryptotokenů.

#PeckShieldAlert ~ 18k $ ETH (~22 m) do 0x1e…6430 od @harmonyprotokol vykořisťovatelé pic.twitter.com/NN4j5Korsz

—PeckShieldAlert (@PeckShieldAlert) Června 27, 2022

Odcizená aktiva se perou v několika transakcích rychlostí 100 ETH zhruba každých 6 minut. V době psaní tohoto článku již bylo přes TornadoCash směrováno ETH v hodnotě více než 50 milionů dolarů, což znamená odmítnutí podmínek Harmony.

Vzhledem k tomu, že srdečný – i když zdrcující – pokus o přátelské vyřešení problému nevyjde, Harmony se bude muset spolehnout na forenzní specialisty a úřady, které vyvolali v době útoku.

Ani jim však není zaručeno, že se jim podaří situaci vyřešit. Pokud vše ostatní selže, tato série akcí by měla alespoň otevřít oči těm v komunitě, kteří možná neberou bezpečnost svých projektů dostatečně vážně.