I slutningen af sidste uge blev Harmony Protocols bro til BSC- og Ethereum-netværkene udnyttet, hvilket førte til et tab på 100 millioner USD af ETH.
Efter en mærkeligt undervældende udtalelse om, at i det mindste bitcoin-broen var upåvirket, har Harmony-teamet annoncerede at de arbejder sammen med "nationale myndigheder og retsmedicinske specialister" for at inddrive de stjålne midler fra de endnu uidentificerede udnyttere.
Multi-Sig sikkerhed forbedret
På grund af at udnyttelsen blev udført ved at misbruge den svage sikkerhed i Harmonys multi-sig tegnebog, har projektets udviklere siden ændret den tidligere multi-sig opsætning – der kræver 2 ud af 4 signaturer for at behandle en transaktion – til en 4 ud af 5 signaturopsætning.
"Vi har migreret Ethereum-siden af Horizon-broen til en 4-af-5 multi-sig siden hændelsen. Vi vil fortsætte med at tage skridt til yderligere at skærpe vores drift og infrastruktursikkerhed. For at gentage, er vi midt i en igangværende undersøgelse. Vi vil fortsætte med at holde alle opdaterede og værdsætter din tålmodighed og støtte."
Selvom den sårbarhed, der oprindeligt blev rapporteret af uafhængige forskere i april, først blev rettet efter katastrofen, er det bedre sent end aldrig. Holdet forsøgte også at skrue tiden tilbage på tidligere fiaskoer og tilbød at begrave stridsøksen, hvis 99 % af midlerne blev returneret – et forslag, der for det meste blev mødt med galgenhumor og generel hån fra Harmony-samfundet.
Vi forpligter os til en dusør på 1 mio. USD til returnering af Horizon-bromidler og deling af udnyttelsesoplysninger.
Kontakt os på [e-mail beskyttet] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony vil gå ind for ingen strafferetlige anklager, når midler returneres.
– Harmoni? (@harmonyprotocol) 26. Juni, 2022
Olivengren er fuldstændig ignoreret
I modsætning til de glade slutter til Optimisme-debaclet tidligere på måneden, værdigede Harmony-udbytterne sig ikke til at svare på tilbuddet om en dusør på 1 million dollars og droppede anklagerne i bytte for tilbageleveringen af den resterende stjålne ETH.
I stedet fortsatte udnytteren med at hvidvaske den swipede ETH via TornadoCash, en tjeneste, der ofte bruges af cyberkriminelle for at tilsløre oprindelsen af dårligt affødte krypto-tokens.
#PeckShieldAlert ~ 18k $ ETH (~22m) ind i 0x1e…6430 fra @harmonyprotokol udbyttere pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) 27. Juni, 2022
De stjålne aktiver bliver hvidvasket på tværs af flere transaktioner med en hastighed på 100 ETH cirka hvert 6. minut. I skrivende stund er ETH til en værdi af over $50 millioner allerede blevet dirigeret gennem TornadoCash, hvilket betyder et afslag på Harmonys vilkår.
Med det dybtfølte – hvis overvældende – forsøg på at løse problemet i mindelighed falder igennem, bliver Harmony nødt til at stole på de retsmedicinske specialister og myndigheder, de fremkaldte på tidspunktet for angrebet.
Der er dog heller ingen garanti for, at de vil være i stand til at løse situationen. Hvis alt andet fejler, bør denne serie af begivenheder i det mindste være en øjenåbner for dem i samfundet, som måske ikke tager sikkerheden i deres projekter alvorligt nok.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/