Konec prejšnjega tedna je bil izkoriščen most Harmony Protocol do omrežij BSC in Ethereum, kar je povzročilo izgubo ETH v vrednosti 100 milijonov dolarjev.
Po nenavadno osupljivi izjavi, da vsaj bitcoin most ni prizadet, je ekipa Harmony razglasitve da sodelujejo z "nacionalnimi organi in forenzičnimi strokovnjaki", da bi izterjali ukradena sredstva od še neznanih izkoriščevalcev.
Izboljšana varnost z več podpisi
Ker je bil izkoriščanje izveden z zlorabo šibke varnosti Harmonyjeve denarnice z več podpisi, so razvijalci projekta od takrat spremenilo prejšnja nastavitev z več podpisi – ki zahteva 2 od 4 podpisov za obdelavo transakcije – na nastavitev 4 od 5 podpisov.
»Od incidenta smo stran Ethereuma mostu Horizon prestavili na 4-od-5 multi-podpisov. Še naprej bomo izvajali ukrepe za nadaljnjo krepitev varnosti našega delovanja in infrastrukture. Naj ponovim, smo sredi preiskave, ki še poteka. Še naprej bomo vse obveščali in cenili vašo potrpežljivost in podporo.”
Čeprav je bila ranljivost, o kateri so aprila prvotno poročali neodvisni raziskovalci, odpravljena šele po nesreči, je bolje pozno kot nikoli. Ekipa je tudi poskušala obrniti uro na preteklih neuspehih in ponudila, da zakopljejo sekiro, če bo vrnjenih 99 % sredstev – predlog je bil večinoma naletel na vislice in splošno zasmehovanje skupnosti Harmony.
Zavezujemo se, da bomo prejeli 1 milijon dolarjev nagrade za vračilo sredstev Horizon bridge in izmenjavo informacij o izkoriščanju.
Pišite nam na [e-pošta zaščitena] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony se bo zavzemal za to, da ob vrnitvi sredstev ne bi bilo kazenskih ovadb.
- Harmonija ? (@harmonyprotocol) Junij 26, 2022
Oljčna vejica popolnoma prezrta
Za razliko od srečnih konec zaradi debakla Optimizma v začetku tega meseca se izkoriščevalec Harmony ni ugodil, da bi odgovoril na ponudbo nagrade v višini 1 milijona dolarjev in je opustil stroške v zameno za vračilo preostalega ukradenega ETH.
Namesto tega je izkoriščevalec nadaljeval s pranjem prevzetega ETH prek TornadoCash, storitve, ki jo kibernetski kriminalci pogosto uporabljajo, da bi prikrili izvor napačno rojenih kriptožetonov.
#PeckShieldAlert ~ 18k $ ETH (~22m) v 0x1e…6430 od @harmonyprotocol izkoriščevalci pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) Junij 27, 2022
Ukradena sredstva se perejo v več transakcijah s hitrostjo 100 ETH približno vsakih 6 minut. V času pisanja je bilo več kot 50 milijonov dolarjev ETH že preusmerjeno prek TornadoCash, kar pomeni zavrnitev pogojev Harmony.
Ker je srčen – četudi nezadosten – poskus sporazumne rešitve problema propadel, se bo moral Harmony zanašati na forenzične strokovnjake in organe, ki so jih priklicali v času napada.
Ni pa nobenega zagotovila, da jim bo uspelo situacijo tudi rešiti. Če vse drugo ne uspe, bi morala ta serija dogodkov vsaj odpreti oči tistim v skupnosti, ki varnosti svojih projektov morda ne jemljejo dovolj resno.
Binance brezplačno 100 $ (ekskluzivno): Uporabite to povezavo da se registrirate in prejmete 100 $ brezplačno in 10 % popusta na Binance Futures prvi mesec (Pogoji).
Posebna ponudba PrimeXBT: Uporabite to povezavo za registracijo in vnos kode POTATO50, da boste prejeli do 7,000 $ na svoje depozite.
Vir: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/