В края на миналата седмица мостът на Harmony Protocol към мрежите BSC и Ethereum беше експлоатиран, което доведе до загуба на ETH на стойност 100 милиона долара.
След любопитно неубедително изявление, че поне мостът на биткойн не е бил засегнат, екипът на Harmony оповестен че работят с „национални власти и криминалисти” с цел възстановяване на откраднатите средства от все още неидентифицираните експлоататори.
Multi-Sig сигурността е подобрена
Поради факта, че експлойтът е бил извършен чрез злоупотреба със слабата сигурност на портфейла на Harmony с много подписи, разработчиците на проекта оттогава промени предишната настройка с множество подписи – изискваща 2 от 4 подписа за обработка на транзакция – до настройка 4 от 5 подписа.
„Ние мигрирахме от страната на Ethereum на моста Horizon към 4-от-5 мулти-сиг след инцидента. Ще продължим да предприемаме стъпки за допълнително засилване на нашите операции и сигурност на инфраструктурата. За да повторя, ние сме в средата на текущо разследване. Ще продължим да поддържаме всички в течение и ще ценим вашето търпение и подкрепа.“
Въпреки че уязвимостта, съобщена от независими изследователи през април, беше отстранена едва след бедствието, по-добре е късно, отколкото никога. Екипът също така се опита да върне часовника назад за минали неуспехи, предлагайки да зарови брадвичката, ако 99% от средствата бъдат върнати – предложение най-вече се срещна с хумор на бесилката и обща подигравка от общността на Harmony.
Ние се ангажираме с награда от 1 милион долара за връщане на средства от Horizon bridge и споделяне на информация за експлоатиране.
Свържете се с нас в [имейл защитен] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony ще се застъпи за липса на наказателни обвинения, когато средствата бъдат върнати.
— Хармония? (@harmonyprotocol) Юни 26, 2022
Маслиновите клонки са напълно игнорирани
За разлика от щастливите край за краха на Optimism по-рано този месец, експлоататорът на Harmony не благоволи да отговори на предложението за награда от $1 милион и отхвърли таксите в замяна на връщането на останалия откраднат ETH.
Вместо това експлоататорът продължи да изпира изтегления ETH чрез TornadoCash, услуга, която често се използва от киберпрестъпниците, за да прикрие произхода на злонамерени крипто токени.
#PeckShieldAlert ~ 18k $ ETH (~22m) в 0x1e…6430 от @harmonyprotocol експлоататори pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) Юни 27, 2022
Откраднатите активи се изпират чрез множество транзакции със скорост от 100 ETH приблизително на всеки 6 минути. Към момента на писане на ETH на стойност над 50 милиона долара вече са били пренасочени през TornadoCash, което означава отказ от условията на Harmony.
Тъй като сърдечният – макар и неубедителен – опит за разрешаване на проблема по приятелски начин пропада, Хармъни ще трябва да разчита на специалистите по криминалистика и властите, които са предизвикали по време на атаката.
Няма обаче гаранция, че и те ще успеят да разрешат ситуацията. Ако всичко друго се провали, тази поредица от събития трябва поне да отвори очите за онези в общността, които може да не приемат достатъчно сериозно сигурността на своите проекти.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/