У канцы мінулага тыдня мост Harmony Protocol да сетак BSC і Ethereum быў выкарыстаны, што прывяло да страты ETH на суму 100 мільёнаў долараў.
Пасля дзіўнай непрыемнай заявы аб тым, што прынамсі біткойн-мост не пацярпеў, каманда Harmony Абвешчаны што яны супрацоўнічаюць з «нацыянальнымі органамі і судмедэкспертамі», каб вярнуць скрадзеныя сродкі ў пакуль невядомых эксплуататараў.
Палепшаная бяспека Multi-Sig
З-за таго, што эксплойт быў здзейснены шляхам злоўжывання слабай бяспекай кашалька Harmony з некалькімі подпісамі, распрацоўшчыкі праекта з тых часоў змяніліся папярэдняя налада з некалькімі подпісамі - для апрацоўкі транзакцыі патрабавалася 2 з 4 подпісаў - на наладу 4 з 5 подпісаў.
«З моманту інцыдэнту мы перанеслі бок Ethereum моста Horizon на 4-з 5-ці. Мы будзем працягваць прымаць меры для далейшага ўмацавання нашых аперацый і бяспекі інфраструктуры. Паўтаруся, мы знаходзімся ў цэнтры расследавання, якое працягваецца. Мы будзем працягваць трымаць усіх у курсе і цэнім ваша цярпенне і падтрымку».
Хоць уразлівасць, пра якую першапачаткова паведамілі незалежныя даследчыкі ў красавіку, была ліквідаваная толькі пасля катастрофы, лепш позна, чым ніколі. Каманда таксама паспрабавала павярнуць назад мінулыя няўдачы, прапанаваўшы закапаць сякерку, калі 99% сродкаў будуць вернутыя - прапанова ў асноўным сустрэла гумар на шыбеніцы і агульныя насмешкі з боку супольнасці Harmony.
Мы абавязваемся атрымаць 1 мільён долараў за вяртанне сродкаў Horizon bridge і абмен інфармацыяй аб эксплойтах.
Звяжыцеся з намі па [электронная пошта абаронена] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony будзе адстойваць адсутнасць крымінальных абвінавачанняў пры вяртанні сродкаў.
— Гармонія? (@harmonyprotocol) Чэрвень 26, 2022
Аліўкавая галіна цалкам ігнаруецца
У адрозненне ад шчаслівых канчатак у сувязі з разгромам аптымізму ў пачатку гэтага месяца, эксплуататар Harmony не ўдаволіўся адказаць на прапанову аб узнагароджанні ў 1 мільён долараў і зняў абвінавачванні ў абмен на вяртанне рэшты скрадзенага ETH.
Замест гэтага, эксплуататар пачаў адмываць атрыманы ETH праз TornadoCash, сэрвіс, які часта выкарыстоўваецца кіберзлачынцамі, каб схаваць паходжанне няправільна створаных крыпта-токенаў.
#PeckShieldAlert ~ 18 к $ ETH (~22 м) у 0x1e...6430 ад @harmonyprotocol эксплуататараў pic.twitter.com/NN4j5Korsz
— PeckShieldAlert (@PeckShieldAlert) Чэрвень 27, 2022
Выкрадзеныя актывы адмываюцца праз некалькі транзакцый з хуткасцю 100 ETH прыкладна кожныя 6 хвілін. На момант напісання артыкула ETH на суму больш за 50 мільёнаў долараў ужо былі накіраваны праз TornadoCash, што азначае адмову ад умоў Harmony.
У сувязі з тым, што шчырыя - хоць і непрыхільныя - спробы вырашыць праблему палюбоўна праваліліся, Гармоніі давядзецца спадзявацца на экспертаў-крыміналістаў і аўтарытэтаў, якіх яны выклікалі падчас нападу.
Аднак няма гарантыі, што і яны змогуць вырашыць сітуацыю. Калі нічога іншага не атрымліваецца, гэтая серыя падзей павінна, па меншай меры, адкрыць вочы для тых у супольнасці, хто, магчыма, недастаткова сур'ёзна ставіцца да бяспекі сваіх праектаў.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/