Krajem prošlog tjedna iskorištavan je most Harmony Protocola do BSC i Ethereum mreža, što je dovelo do gubitka ETH-a u vrijednosti od 100 milijuna dolara.
Nakon čudno neodoljive izjave da barem bitcoin most nije pogođen, Harmony tim najavio da rade s “nacionalnim tijelima i forenzičkim stručnjacima” kako bi povratili ukradena sredstva od još neidentificiranih izrabljivača.
Poboljšana sigurnost s više znakova
Budući da je eksploatacija izvedena zlouporabom slabe sigurnosti Harmonyjevog novčanika s više potpisa, programeri projekta su od tada promijenjen prethodna postavka s više potpisa – koja zahtijeva 2 od 4 potpisa za obradu transakcije – na postavku 4 od 5 potpisa.
“Migrirali smo Ethereum stranu Horizon mosta na 4-od-5 multi-sign od incidenta. Nastavit ćemo poduzeti korake za daljnje jačanje sigurnosti poslovanja i infrastrukture. Da ponovimo, usred smo istrage koja je u tijeku. Nastavit ćemo obavještavati sve o novostima i cijenimo vaše strpljenje i podršku.”
Iako je ranjivost koju su neovisni istraživači prvobitno prijavili u travnju otklonjena tek nakon katastrofe, bolje je ikad nego nikad. Tim je također pokušao vratiti vrijeme prošlih neuspjeha, nudeći zakopavanje ratne sjekire ako se vrati 99% sredstava - prijedlog je uglavnom naišao na humor na vješalima i opće ismijavanje od strane zajednice Harmony.
Obvezujemo se na nagradu od 1 milijuna dolara za povrat sredstava Horizon bridge i dijeljenje informacija o eksploataciji.
Kontaktirajte nas na [e-pošta zaštićena] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony će se zalagati da nema kaznenih prijava kada se sredstva vrate.
— Harmonija? (@harmonyprotocol) Lipnja 26, 2022
Maslinova grančica potpuno zanemarena
Za razliku od sretnih završni na debakl Optimism ranije ovog mjeseca, iskorištavač Harmonya nije se udostojio odgovoriti na ponudu za nagradu od milijun dolara i odustao je od optužbi u zamjenu za povrat preostalog ukradenog ETH-a.
Umjesto toga, eksploatator je nastavio s pranjem unesenog ETH-a putem TornadoCasha, usluge koju kibernetički kriminalci često koriste kako bi prikrili podrijetlo zlonamjernih kripto tokena.
#PeckShieldAlert ~ 18k $ ETH (~22m) u 0x1e…6430 od @harmonyprotocol izrabljivači pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) Lipnja 27, 2022
Ukradena imovina se pere kroz više transakcija po stopi od 100 ETH otprilike svakih 6 minuta. U vrijeme pisanja ovog teksta, preko TornadoCash-a je već prebačeno preko 50 milijuna dolara ETH-a, što znači odbijanje Harmonyjevih uvjeta.
Budući da srdačan – iako neodoljiv – pokušaj mirnog rješavanja problema propada, Harmony će se morati osloniti na forenzičke stručnjake i autoritete koje su pozvali u vrijeme napada.
No, nema jamstva da će i oni uspjeti riješiti situaciju. Ako ništa drugo ne uspije, ovaj niz događaja trebao bi barem otvoriti oči onima u zajednici koji možda ne shvaćaju sigurnost svojih projekata dovoljno ozbiljno.
Binance besplatno 100 USD (isključivo): Koristite ovu vezu za registraciju i primanje 100 USD besplatno i 10% popusta na Binance Futures prvi mjesec (uvjeti).
Posebna ponuda PrimeXBT: Koristite ovu vezu da se registrirate i unesete POTATO50 kod kako biste primili do 7,000 USD na svoje depozite.
Izvor: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/