В конце прошлой недели был использован мост Harmony Protocol к сетям BSC и Ethereum, что привело к потере ETH на сумму 100 миллионов долларов.
После странного неутешительного заявления о том, что, по крайней мере, биткойн-мост не пострадал, команда Harmony объявило что они работают с «национальными властями и судебно-медицинскими экспертами», чтобы вернуть украденные средства у еще неустановленных эксплуататоров.
Улучшена безопасность мультиподписи
Из-за того, что эксплойт был осуществлен путем злоупотребления слабой защитой мультиподписного кошелька Harmony, разработчики проекта с тех пор менялась предыдущая установка с несколькими подписями, требующая 2 из 4 подписей для обработки транзакции, заменена на настройку подписи 4 из 5.
«После инцидента мы перевели сторону Ethereum моста Horizon на мультиподпись 4 из 5. Мы продолжим предпринимать шаги по дальнейшему усилению безопасности наших операций и инфраструктуры. Повторяю, мы находимся в середине продолжающегося расследования. Мы продолжим держать всех в курсе и ценим ваше терпение и поддержку».
Хотя уязвимость, о которой первоначально сообщили независимые исследователи в апреле, была устранена только после того, как произошла катастрофа, лучше поздно, чем никогда. Команда также попыталась повернуть время вспять в связи с прошлыми неудачами, предложив зарыть топор войны, если 99% средств будут возвращены - предложение, в основном, было встречено сообществом Harmony с юмором виселицы и общим высмеиванием.
Мы обещаем вознаграждение в размере 1 миллиона долларов за возврат средств моста Horizon и обмен информацией об эксплойтах.
Свяжитесь с нами по адресу whitehat@harmony.one или по адресу ETH 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony будет выступать за отсутствие уголовных обвинений, когда средства будут возвращены.
- Гармония 💙 (@harmonyprotocol) 26 июня 2022
Оливковая ветвь полностью игнорируется
В отличие от счастливого окончание до фиаско Optimism в начале этого месяца, эксплуататор Harmony не соизволил ответить на предложение вознаграждения в размере 1 миллиона долларов и снял обвинения в обмен на возврат оставшегося украденного ETH.
Вместо этого эксплуататор приступил к отмыванию украденного ETH через TornadoCash — сервис, часто используемый киберпреступниками для сокрытия происхождения незаконных крипто-токенов.
#Peckshieldalert ~ 18k $ ETH (~22m) в 0x1e…6430 из @harmonyprotocol эксплуататоры pic.twitter.com/nn4j5korsz
- PeckShieldAlert (@PeckShieldAlert) 27 июня 2022
Украденные активы отмываются несколькими транзакциями со скоростью 100 ETH примерно каждые 6 минут. На момент написания статьи через TornadoCash уже было направлено ETH на сумму более 50 миллионов долларов, что означает отказ от условий Harmony.
Из-за того, что сердечная — хотя и не впечатляющая — попытка мирного решения проблемы провалилась, Harmony придется полагаться на судебно-медицинских экспертов и авторитеты, которых они вызывали во время атаки.
Однако нет никакой гарантии, что они смогут разрешить ситуацию. Если ничего не помогает, эта серия мероприятий должна, по крайней мере, открыть глаза тем членам сообщества, которые, возможно, недостаточно серьезно относятся к безопасности своих проектов.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
