Στα τέλη της περασμένης εβδομάδας, η γέφυρα του Harmony Protocol με τα δίκτυα BSC και Ethereum έγινε αντικείμενο εκμετάλλευσης, οδηγώντας σε απώλεια ETH αξίας 100 εκατομμυρίων δολαρίων.
Μετά από μια περίεργα συντριπτική δήλωση ότι τουλάχιστον η γέφυρα του bitcoin δεν επηρεάστηκε, η ομάδα Harmony ανακοίνωσε ότι συνεργάζονται με «εθνικές αρχές και ιατροδικαστές» προκειμένου να ανακτήσουν τα κλεμμένα κεφάλαια από τους άγνωστους ακόμη εκμεταλλευτές.
Βελτιωμένη ασφάλεια Multi-Sig
Λόγω του ότι η εκμετάλλευση πραγματοποιήθηκε με κατάχρηση της αδύναμης ασφάλειας του πορτοφολιού πολλαπλών σημάτων της Harmony, οι προγραμματιστές του έργου έκτοτε άλλαξε η προηγούμενη ρύθμιση πολλαπλών σημείων - που απαιτούσε 2 από τις 4 υπογραφές για την επεξεργασία μιας συναλλαγής - σε μια ρύθμιση 4 από τις 5 υπογραφές.
«Έχουμε μεταναστεύσει την πλευρά Ethereum της γέφυρας Horizon σε ένα multi-sig 4-από-5 από το περιστατικό. Θα συνεχίσουμε να λαμβάνουμε μέτρα για να ενισχύσουμε περαιτέρω τις λειτουργίες και την ασφάλεια των υποδομών μας. Για να επαναλάβουμε, βρισκόμαστε στη μέση μιας συνεχιζόμενης έρευνας. Θα συνεχίσουμε να ενημερώνουμε όλους και να εκτιμούμε την υπομονή και την υποστήριξή σας».
Αν και η ευπάθεια που αναφέρθηκε αρχικά από ανεξάρτητους ερευνητές τον Απρίλιο επιδιορθώθηκε μόνο μετά την καταστροφή, κάλλιο αργά παρά ποτέ. Η ομάδα προσπάθησε επίσης να γυρίσει πίσω το ρολόι σε προηγούμενες αποτυχίες, προσφέροντας να θάψει το τσεκούρι εάν επιστραφεί το 99% των κεφαλαίων – μια πρόταση που συναντήθηκε κυρίως με χιούμορ αγχόνης και γενικό χλευασμό από την κοινότητα του Harmony.
Δεσμευόμαστε για επιβράβευση 1 εκατομμυρίου $ για την επιστροφή κεφαλαίων Horizon bridge και την κοινή χρήση πληροφοριών εκμετάλλευσης.
Επικοινωνήστε μαζί μας στο [προστασία μέσω email] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Η Harmony θα υποστηρίξει την απουσία ποινικών διώξεων όταν επιστραφούν τα χρήματα.
— Αρμονία; (@harmonyprotocol) Ιούνιος 26, 2022
Το κλαδί ελιάς αγνοείται τελείως
Σε αντίθεση με τους χαρούμενους κατάληξη στην καταστροφή του Optimism νωρίτερα αυτόν τον μήνα, ο εκμεταλλευτής του Harmony δεν δέχθηκε να απαντήσει στην προσφορά του 1 εκατομμυρίου δολαρίων και απέσυρε τις χρεώσεις σε αντάλλαγμα για την επιστροφή του υπολοίπου ETH που είχε κλαπεί.
Αντίθετα, ο εκμεταλλευτής προχώρησε στο ξέπλυμα του swiped ETH μέσω TornadoCash, μιας υπηρεσίας που χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου για να συσκοτίσει την προέλευση των παράνομων μάρκων κρυπτογράφησης.
#PeckShieldAlert ~ 18k $ ETH (~22m) σε 0x1e…6430 από @harmonyprotocol εκμεταλλευτές pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) Ιούνιος 27, 2022
Τα κλεμμένα περιουσιακά στοιχεία ξεπλένονται σε πολλαπλές συναλλαγές με ρυθμό 100 ETH περίπου κάθε 6 λεπτά. Τη στιγμή που γράφονται αυτές οι γραμμές, ETH αξίας άνω των 50 εκατομμυρίων δολαρίων έχει ήδη δρομολογηθεί μέσω TornadoCash, γεγονός που σημαίνει άρνηση των όρων της Harmony.
Καθώς η εγκάρδια –αν και ανυπόφορη– προσπάθεια για φιλική επίλυση του ζητήματος αποτυγχάνει, η Harmony θα πρέπει να βασιστεί στους ιατροδικαστές και τις αρχές που επικαλέστηκαν τη στιγμή της επίθεσης.
Ωστόσο, δεν υπάρχει καμία εγγύηση ότι θα μπορέσουν να επιλύσουν την κατάσταση. Εάν όλα τα άλλα αποτύχουν, αυτή η σειρά εκδηλώσεων θα πρέπει τουλάχιστον να ανοίξει τα μάτια για όσους στην κοινότητα μπορεί να μην λαμβάνουν αρκετά σοβαρά την ασφάλεια των έργων τους.
Binance Δωρεάν 100 $ (Αποκλειστικά): Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να λάβετε δωρεάν προμήθειες 100 $ και έκπτωση 10% στο Binance Futures τον πρώτο μήνα (όροι).
Ειδική προσφορά PrimeXBT: Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να εισαγάγετε τον κωδικό POTATO50 για να λάβετε έως και 7,000 $ στις καταθέσεις σας.
Πηγή: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/