En annan dag, ännu en De-Fi-attack (decentraliserad finans).
Den här gången har online-smarta kontraktsföretaget Harmony, som presenterar sig som en "öppen och snabb blockkedja", blivit bestulen på mer än 80,000,000 XNUMX XNUMX USD i Ether-kryptomynt.
Överraskande (eller föga överraskande, beroende på din synvinkel), om besök Harmonys hemsida, kommer du förmodligen att sluta helt omedveten om den enorma förlust som företaget just lidit.
Inte ens företagets officiella blogg, länkad till från webbplatsen, nämner det.
Den senaste bloggartikeln är från början av 2022 och har titeln Utredningsrapport om förlorade medel.
Tyvärr, de förlorade medel är det inte Dessa förlorade medel.
Tydligen i början av året, de förlorade pengar hände när fem individer lurades till ett belopp av drygt 19 miljoner av Harmonys ONE-tokens, då uppenbarligen värda cirka 25 amerikanska cent vardera.
Harmony lämnade ett erbjudande den 04 januari 2022 där det stod att:
Vi vill ge den misstänkte en möjlighet att kommunicera med Harmony Foundation och returnera alla medel. Harmony kommer inte att vidta ytterligare rättsliga åtgärder eller doxa din identitet så länge vi får ditt fulla samarbete. Teamet kommer att erbjuda dig en belöning för att avslöja hur denna stöld utfördes så länge den kan valideras.
Vi är inte säkra på om det är lagligt för ett företag att erbjuda sig att skriva om historien för att låtsas att ett obehörigt och förmodligen olagligt hack faktiskt var legitim forskning, även om det verkade fungera i det ökända $ 600 miljoner hack av Poly Networks.
Gärningsmannen i det fallet gjorde en uppsjö av nyfikna pseudopolitiska blockchain-meddelanden ALL IN CAPS, skrivna på konstlat dålig engelska, för att hävda att pengar inte var motivet bakom brottet.
I slutändan, efter att ha fått gunst hos kexen genom att anta smeknamnet Herr White Hat, Poly Networks (till mångas förvåning, inklusive vår egen) fick tillbaka de flesta av sina pengar.
Vi är inte heller säkra på hur mycket isolering från åtal ett erbjudande från offret om att inte "trycka åtal" sannolikt kommer att ge, med tanke på att det i många länder är staten som vanligtvis fattar beslutet att utreda, åtala och åtala misstänkta för brott.
Vissa länder, som England, ger visserligen privatpersoner (inklusive yrkesorganisationer eller välgörenhetsorganisationer) rätten att genomföra ett privat åtal om staten inte vill göra det, men de ger inte brottsoffer en "konsekvensrätt" till hindra staten från att väcka åtal om den ändå vill göra det.
Ändå har Poly Networks oväntade framgång med att återvinna mer än en halv miljard dollar uppmuntrat andra kryptovalutaföretag att prova denna "torka rent" tillvägagångssätt, förmodligen på grund av att det ofta inte finns mycket annat de kan göra.
Men det gör det inte verkar fungera fruktansvärt ofta.
Det verkade verkligen inte fungera för Harmony i januari 2022, men om förövaren ännu inte har kunnat ta ut sina otillbörliga vinster kan de ångra att de inte tog emot erbjudandet.
Den 15 januari 2022, när Harmonys falska "bug bounty offer" löpte ut, nådde ONE-tokens en topp på 0.35 $, men har sedan dess sjunkit till under 2.5 cent var och en, enligt CoinGecko.
Än en gång till inte-a-brottet
Det har inte hindrat Harmony från att prova det bugg-bounty-baserade historiska revisionistiska tillvägagångssättet igen, genom att kontakta hackern från juni 2022 via Ether blockchain för att säga:
Harmony-teamet är intresserade av att kommunicera och förhandla. Kontakta security@harmony.one för att starta en konversation. Kommunikationen kan vara anonym. ID: 0xc8f0dbe83ef36ab59c1fd57099d5ed98c65ff71d0cc69d0084ca570ee26141bb
Sedan dess har många andra chansare, jokrar och kryptokommentatorer tagit steget upp till blockkedjan också för att säga ...
Technology is the primary productive force, amazing, great god, I hope you can give me some tokens, I wish you good luck and get away perfectly ID: x337edbfeb3c6aba36b02e90015be51f0057995eebbe6d8d1f26205ed8449d19c 1 for bless you 6 for stress you ID: 0x08b7f4914dab2170cdc2ed2cc9760c8478bb3652670cb2fe16f5302c3ad98701 Hello, I think your skills är väldigt bra och jag beundrar dig väldigt mycket. Jag hörde att du utreds. Jag önskar dig lycka till. Dessutom, kan du skicka mig lite eth om du kan? I am a poor man with a family to support and my children are still young, thank you so much, God bless you ID: 0x505e8914fd0e926e53ef85ba78b7a4e73db564f36fa62a3585383f7cd33be2c8 大哥,给我发1个eth,我感谢你呀,大佬呀,你试大佬啊,你真的是大佬 (Bro, skicka mig 1 eth. Jag tackar dig, bro. Du är verkligen min bror!) ID: 0x14ced8b1ec700ce93413e3e537c75beffd7846a68bbda53c I-ex you will love you with you ID: 5x641296dfa02c0d77d12d1a21c7385764c48a72ccd075e12e1e843457a4fbe364cff
Om du undrar så verkar hackaren eller hackarna ha kommit iväg med åtminstone följande medel, med US$-värdena nedan beräknade baserat på en kurs på ETH1 = US$1100 (kursen i skrivande stund [2022- 06-27T17:50Z] är faktiskt närmare $1200 än $1100):
ETH total IN Approx value Transaction ID -------------- -------------- ------------------------------------------------------------------ ETH 4,570.000 $5,027,000.00 0xb4d60d5161b8508098d9c21834377eaded6b8668d205dfe4bfa7b6dd30f7a192 ETH 3,899.000 $4,288,900.00 0x9cdf447483508d632c5531c5dac8ed31486c0f054c0004bc80a9e07521b3d506 ETH 7,077.000 $7,784,700.00 0xb1d78f2eeea53f1624eea3020409d47c55c868ecf3e0f896e672d04f23fac007 ETH 9,850.000 $10,835,000.00 0x9eced2a4fbc3d95a8ea1a10dd4215b6bf7cbc633d06405e9f052a35f11c59f69 ETH 4,439.000 $4,882,900.00 0x4cceded4cce367631ab6cc11288bd0840d9f9a537b982e1b903205f274fc38a4 ETH 4,431.000 $4,874,100.00 0x9cd567022752e35be9bb429e030a28efad63bcd86ffb3c48ac661c5f966e7aab ETH 7,990.000 $8,789,000.00 0xdd37bafa2b0941df21e5c5f97558462b394a6013f756954700060ccd354f7eb2 ETH 5,380.000 $5,918,000.00 0xc8382891f4c60c86e5485816a3d79dc5a96b77ad1538b3eb1ee747f7cc18bc46 ETH 14,190.000 $15,609,000.00 0x8447ae8f9367d2f9217355065f620c4e099bfe0ecb4db0e94eb2b32246c859c7 ETH 4,965.000 $5,461,500.00 0x6650ff5c97a026258a25f9e8b15f77f68f34f6f9d5fd39b28bcce316f3b8ef87 ETH 4,919.000 $5,410,900.00 0x02a9727da800d2bb2000f346b28e925d3fffcd88f4ec2e5c0df6753dc8873139 ETH 43.394 $47,733.49 0x3eb9dd782d1c80b292c068ad657f444cba842e6757d1f3b4190c79d7651164b2 ETH 911.000 $1,002,100.00 0x134baf1e5da1ad9f2c99cad48149ac629fdf51cb44a14370756dc02c06510b99 ETH 75.000 $82,500.00 0x62a0a9f6a3ce55f7af494a0e8735a2ba00c5f30cc7b662b899db91099a3dfe60 ETH 30.000 $33,000.00 0x31b5e79ea63ffe4cc00521ec5d2224953ee0ce0cc7cf2284063c02dd494d1e15 -------------- -------------- ETH 72,769.394 $80,046,333.49
Tidigare idag, trots Harmony erbjuda en "premie" på 1,000,000 XNUMX XNUMX $ och säger att det kommer att "förespråka inga brottsanklagelser"...
Vi förbinder oss till en belöning på 1 miljon dollar för att få tillbaka pengar från Horizon Bridge och för att dela exploateringsinformation.
Kontakta oss på whitehat@harmony.one eller ETH-adress 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony kommer att förespråka inga brottsanklagelser när pengar återlämnas.
— Harmony 💙 (@harmonyprotocol) Juni 26, 2022
…hackern verkar ha betalat ut en stor del av ovanstående ETH72,769 XNUMX till ett konto som inte verkar vara kopplat till Harmony, eller åtminstone inte gör anspråk på av Harmony:
ETH totalt OUT Ungefärligt värde Transaktions-ID -------------------- -------------- --------------- -------------------------------------------------- - ETH 18,036.300 19,839,930.00 0 $ 2 259 682 6517x09f771dec6ccd439c1925b87d562edb72649f708e0511b1aXNUMXaXNUMXfddXNUMXeXNUMX
Minst en uppenbarligen panikslagen kund har nått ut mer desperat och vältaligt än några av de andra kommentatorerna för att säga:
BISH! LÄRDE DU INTE MAMMA DIG INGEN MANÖR? VAD DETTA SÄNDER ENDAST 7m. SKICK BARA NÅGOT FÖR OSS LÅT OSS VETA ATT DU TAGAR DEN RÄTTIGA VÄGEN. ÅHH JAG SER SÅ NU HAR DU 97m I ETER OCH TA BARA AV LITE AV DEN KRÄMEN. OK BISH SER BRA UT DU ÅTERKOMMAR ATT 97M OCH HARMONY CREW FÅR RESPEKTERA DET, 3 ETT MAGISKT NUMMER OCH ALLT DET SHIT. JAG SOV INTE PÅ DAGAR, GE OSS EN SIGNAL BISH, NÅGOT!!!! ID: 0x3db5cd2270c27808d282a3efccd33342da69312ba07561e2a11a6f1716b0b259
Vad hände?
Harmony's skriva upp hittills tyder på att angriparen eller angriparna drog sig ur detta rån trots att de bedrägliga transaktionerna kräver flera undertecknare där varje undertecknare har sin privata nyckel delad mellan två lagringsplatser, en lokal och en på en nyckelserver.
Tyvärr verkar det som att även om "multisig"-processen i det här fallet krävde två av fem betrodda parter för att samunderteckna, kunde angriparna ändå kompromissa med två av de fem privata nycklar som behövdes.
Tydligen har Harmony nu beslutat att kräva att fyra av de fem betrodda parterna samundertecknar, även om man kan hävda att med två av de fem som redan har visat sin opålitlighet, motsvarar det att återställa status quo med att kräva "två betrodda parter".
Vad Harmony inte har avslöjat (och kanske ännu inte ens vet) är om det fanns en gemensam orsak till kompromissen mellan de två privata nycklarna som ledde till de otillåtna överföringarna.
När allt kommer omkring är det ingen idé att ha N-faktorautentisering där N > 1 om det finns en gemensam punkt för fel mellan alla N faktorer.
Till exempel, om du har bärbara datorer med hårddiskar skyddade både av uppstartslösenord och av engångskodsekvenser genererade av en mobiltelefon, har du i praktiken 3FA, så att en angripare behöver: besitta den bärbara datorn; känna till lösenordet; och antingen kunna låsa upp användarens telefon eller återställa fröet för kodsekvensen.
Men om du har en användare som skriver sitt lösenord och sin autentiseringsfrökod på en klibbig etikett och klistrar in den på undersidan av sin bärbara dator, då är du direkt tillbaka till 1FA: all säkerhet vilar på den bärbara datorn själv.
Var inte den användaren!
Och låt inte någon av dina vänner eller kollegor vara den användaren heller...
