Pod koniec ubiegłego tygodnia wykorzystano most Harmony Protocol do sieci BSC i Ethereum, co doprowadziło do utraty wartości ETH o wartości 100 milionów dolarów.
Po dziwnie rozczarowującym stwierdzeniu, że przynajmniej bitcoin bridge nie został naruszony, zespół Harmony ogłosił że współpracują z „krajowymi władzami i specjalistami medycyny sądowej” w celu odzyskania skradzionych funduszy od niezidentyfikowanych jeszcze wyzyskiwaczy.
Ulepszone zabezpieczenia Multi-Sig
Ze względu na to, że exploit został zrealizowany przez nadużycie słabego zabezpieczenia portfela multi-sig Harmony, twórcy projektu od tego czasu zmieniony poprzednia konfiguracja z wieloma podpisami – wymagająca 2 z 4 podpisów do przetworzenia transakcji – do konfiguracji 4 z 5 podpisów.
„Od czasu incydentu przeprowadziliśmy migrację strony Ethereum mostu Horizon do multi-sig 4 z 5”. Będziemy nadal podejmować kroki w celu dalszego wzmocnienia naszych operacji i bezpieczeństwa infrastruktury. Powtarzam, jesteśmy w trakcie trwającego dochodzenia. Będziemy nadal informować wszystkich na bieżąco i dziękujemy za cierpliwość i wsparcie”.
Chociaż usterka początkowo zgłoszona przez niezależnych badaczy w kwietniu została naprawiona dopiero po katastrofie, lepiej późno niż wcale. Zespół próbował również cofnąć czas w stosunku do wcześniejszych niepowodzeń, proponując zakopanie siekiery, jeśli 99% funduszy zostanie zwróconych – propozycja w większości spotkała się z wisielczym humorem i ogólną kpiną ze strony społeczności Harmony.
Zobowiązujemy się do nagrody w wysokości 1 miliona dolarów za zwrot funduszy pomostowych Horizon i udostępnianie informacji o exploitach.
Skontaktuj się z nami na [email chroniony] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony będzie opowiadać się za brakiem zarzutów karnych po zwrocie środków.
- Harmonia ? (@harmoniaprotokół) 26 czerwca 2022 r.
Gałązka oliwna całkowicie zignorowana
W przeciwieństwie do szczęśliwych kończący się po klęsce Optymizmu na początku tego miesiąca, wyzyskiwacz Harmony nie raczył odpowiedzieć na ofertę nagrody w wysokości 1 miliona dolarów i zrezygnował z opłat w zamian za zwrot pozostałych skradzionych ETH.
Zamiast tego exploiter zaczął prać przeszukane ETH za pośrednictwem TornadoCash, usługi często wykorzystywanej przez cyberprzestępców w celu zaciemnienia pochodzenia nieuczciwych tokenów kryptograficznych.
Ostrzeżenie #PeckShield ~ 18k $ ETH (~22m) do 0x1e…6430 z @harmonijka wyzyskiwacze pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) 27 czerwca 2022 r.
Skradzione aktywa są prane w wielu transakcjach z szybkością 100 ETH mniej więcej co 6 minut. W momencie pisania tego tekstu, ponad 50 milionów dolarów ETH zostało już przekierowane przez TornadoCash, co oznacza odmowę warunków Harmony.
Przy szczerej – choć rozczarowującej – próbie polubownego rozwiązania problemu, Harmony będzie musiała polegać na ekspertach medycyny sądowej i autorytetach, które przywołali w momencie ataku.
Nie ma jednak gwarancji, że będą w stanie rozwiązać sytuację. Jeśli wszystko inne zawiedzie, ta seria wydarzeń powinna przynajmniej otworzyć oczy dla tych w społeczności, którzy mogą nie brać wystarczająco poważnie bezpieczeństwa swoich projektów.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/