Eind vorige week werd de brug van Harmony Protocol naar de BSC- en Ethereum-netwerken uitgebuit, wat leidde tot een verlies van $ 100 miljoen aan ETH.
Na een merkwaardig teleurstellende verklaring dat in ieder geval de bitcoin-brug onaangetast was, heeft het Harmony-team aangekondigd dat ze samenwerken met "nationale autoriteiten en forensische specialisten" om het gestolen geld terug te krijgen van de nog niet geïdentificeerde uitbuiters.
Multi-Sig-beveiliging verbeterd
Omdat de exploit werd uitgevoerd door misbruik te maken van de zwakke beveiliging van Harmony's multi-sig-portemonnee, hebben de ontwikkelaars van het project sindsdien veranderd de vorige multi-sig setup – 2 van de 4 handtekeningen nodig om een transactie te verwerken – naar een 4 van de 5 handtekening setup.
“Sinds het incident hebben we de Ethereum-kant van de Horizon-brug gemigreerd naar een 4-of-5 multi-sig. We zullen stappen blijven ondernemen om onze activiteiten en infrastructuurbeveiliging verder te versterken. Nogmaals, we zitten midden in een lopend onderzoek. We zullen iedereen op de hoogte blijven houden en waarderen uw geduld en steun.”
Hoewel de kwetsbaarheid die aanvankelijk door onafhankelijke onderzoekers in april werd gemeld, pas werd verholpen nadat het noodlot toesloeg, is het beter laat dan nooit. Het team probeerde ook de klok terug te draaien op eerdere mislukkingen en bood aan de strijdbijl te begraven als 99% van het geld zou worden teruggegeven - een voorstel dat meestal op galgenhumor en algemene spot werd onthaald door de Harmony-gemeenschap.
We verbinden ons tot een premie van $ 1 miljoen voor de teruggave van Horizon-bridgefondsen en het delen van exploitinformatie.
Contacteer ons op [e-mail beveiligd] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony zal pleiten voor geen strafrechtelijke vervolging wanneer geld wordt teruggegeven.
— Harmonie? (@harmonieprotocol) 26 June 2022
Olijftak volledig genegeerd
In tegenstelling tot de gelukkige einde na het Optimisme-debacle eerder deze maand, verwaardigde de Harmony-uitbuiter zich niet om te reageren op het aanbod van een premie van $ 1 miljoen en liet hij de aanklacht vallen in ruil voor de teruggave van de resterende gestolen ETH.
In plaats daarvan ging de uitbuiter door met het witwassen van de gestolen ETH via TornadoCash, een dienst die vaak door cybercriminelen wordt gebruikt om de oorsprong van onrechtmatig verkregen crypto-tokens te verdoezelen.
#PeckShieldAlert ~ 18k $ ETH (~22m) in 0x1e...6430 van @harmonyprotocol uitbuiters pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) 27 June 2022
De gestolen activa worden ongeveer elke 100 minuten witgewassen over meerdere transacties met een snelheid van 6 ETH. Op het moment van schrijven is er al meer dan $ 50 miljoen aan ETH omgeleid via TornadoCash, wat een weigering van Harmony's voorwaarden betekent.
Nu de oprechte - zij het teleurstellende - poging om het probleem in der minne op te lossen, mislukt, zal Harmony moeten vertrouwen op de forensische specialisten en autoriteiten die ze hebben ingeschakeld op het moment van de aanval.
Er is echter ook geen garantie dat ze de situatie zullen kunnen oplossen. Als al het andere faalt, zou deze reeks evenementen op zijn minst een eye-opener moeten zijn voor degenen in de gemeenschap die de beveiliging van hun projecten misschien niet serieus genoeg nemen.
Binance gratis $ 100 (exclusief): Gebruik deze link om u te registreren en de eerste maand $ 100 gratis en 10% korting te ontvangen op Binance Futures (termen).
PrimeXBT Speciale aanbieding: Gebruik deze link om te registreren en de POTATO50-code in te voeren om tot $7,000 op uw stortingen te ontvangen.
Bron: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/