Başka bir gün, başka bir De-Fi (merkezi olmayan finans) saldırısı.

Bu kez, kendisini "açık ve hızlı blockchain" olarak tanıtan çevrimiçi akıllı sözleşme şirketi Harmony, 80,000,000 dolardan fazla değere sahip Ether kripto parasını çaldı.

Şaşırtıcı bir şekilde (veya bakış açınıza bağlı olarak şaşırtıcı olmayan bir şekilde), eğer ziyaret ederseniz Harmony'nin web sitesi, muhtemelen işletmenin az önce yaşadığı büyük kayıptan tamamen habersiz kalacaksınız.

İşletmenin web sitesinden bağlantı verilen resmi blogunda bile bundan bahsedilmiyor.

En son blog makalesi 2022'nin en başına aittir ve şu başlığı taşır: Kayıp Fonlar Araştırma Raporu.

Ne yazık ki, Bu kaybedilen fonlar değil bunlar fon kaybı.

Görünüşe göre yılın başında, Bu Fon kaybı, beş kişinin 19 milyonun biraz üzerinde Harmony's ONE tokenı miktarına göre dolandırıldığı ve görünüşe göre her biri yaklaşık 25 ABD senti değerinde olduğu ortaya çıktı.

Harmony, 04 Ocak 2022'de şunları belirten bir teklifte bulundu:

Şüpheliye Harmony Vakfı ile iletişim kurma ve tüm fonları iade etme fırsatı vermek istiyoruz. Tam işbirliğinizi aldığımız sürece Harmony daha fazla yasal işlem başlatmayacak veya kimliğinizi ifşa etmeyecektir. Ekip, doğrulanabildiği sürece bu hırsızlığın nasıl yapıldığını ortaya çıkarmanız için size bir ödül sunacak.

Bir şirketin, yetkisiz ve muhtemelen yasa dışı bir hacklemeyi aslında meşru bir araştırmaymış gibi göstermek için tarihi yeniden yazmayı teklif etmesinin yasal olup olmadığından emin değiliz. $ 600 milyon kesmek Poly Networks'ün.

Bu vakanın faili, suçun ardındaki motivasyonun para olmadığını iddia etmek için yapay olarak zayıf bir İngilizceyle yazılmış, HEPSİ BÜYÜK HARFLERLE yazılmış, merak uyandırıcı sahte-politik blockchain duyuruları yaptı.

Nihayetinde, takma adı benimseyerek krakerin gözüne girdikten sonra Bay Beyaz ŞapkaPoly Networks (bizimki dahil birçok insanı hayrete düşürecek şekilde) fonlarının çoğunu geri aldı.

Ayrıca, birçok ülkede şüphelileri soruşturma, suçlama ve kovuşturma kararını genellikle devletin aldığı göz önüne alındığında, mağdurun "suçlamada bulunmama" yönündeki herhangi bir teklifinin kovuşturmaya karşı ne kadar izolasyon sağlayacağından da emin değiliz. ceza gerektiren suçlar.

İngiltere gibi bazı ülkeler, eğer devlet istemiyorsa, özel kişilere (mesleki kuruluşlar veya hayır kurumları da dahil olmak üzere) özel kovuşturma yürütme hakkı veriyor, ancak suç mağdurlarına, özel bir soruşturma yürütme hakkı vermiyorlar. Devlet isterse dava açmasını engellemek.

Bununla birlikte, Poly Networks'ün yarım milyar dolardan fazlasını geri kazanmadaki beklenmedik başarısı, diğer kripto para birimi işletmelerini, muhtemelen yapabilecekleri fazla bir şey olmadığı gerekçesiyle bu "her şeyi silip süpürme" yaklaşımını denemeye teşvik etti.

Ama öyle değil çalışıyor gibi görünüyor çok sık.

Ocak 2022'de bu kesinlikle Harmony için işe yaramış gibi görünmüyor, ancak fail henüz haksız kazançlarını nakde çevirememişse teklifi kabul etmediğine pişman olabilir.

15 Ocak 2022'de Harmony'nin sahte "hata ödülü teklifi" sona erdiğinde, ONE tokenleri 0.35 dolara kadar yükseldi ancak o zamandan beri bu seviyenin altına düştü. 2.5 sent CoinGecko'ya göre her biri.

Bir kez daha ihlal edilmemeye doğru

Bu, Harmony'nin hata ödülü temelli tarihsel revizyonist yaklaşımı bir kez daha denemesini engellemedi ve Haziran 2022 hackerıyla Ether blockchain aracılığıyla iletişime geçerek şunları söyledi:

Harmony ekibi iletişim kurmak ve müzakere etmekle ilgileniyor. Bir görüşme başlatmak için lütfen Security@harmony.one adresinden iletişime geçin. İletişim anonim olabilir. Kimlik: 0xc8f0dbe83ef36ab59c1fd57099d5ed98c65ff71d0cc69d0084ca570ee26141bb

O zamandan bu yana, çok sayıda şansçı, şakacı ve kripto yorumcusu da blockchain'e adım attı ve şunları söyledi:

Teknoloji birincil üretken güçtür, muhteşem, yüce tanrım, umarım bana biraz jeton verebilirsin, sana iyi şanslar dilerim ve mükemmel bir şekilde kurtulmanı dilerim ID: x337edbfeb3c6aba36b02e90015be51f0057995eebbe6d8d1f26205ed8449d19c 1 seni korusun stres için 6 seni ID: 0x08b7f4914dab2170cdc2 ed2cc9760c8478bb3652670cb2fe16f5302c3ad98701 Merhaba, sanırım yeteneklerin çok iyisiniz ve size çok hayranım. Araştırıldığınızı duydum. İyi şanslar dilerim. Ayrıca eğer yapabiliyorsanız bana biraz Eth gönderebilir misiniz? Bakması gereken bir aileye sahip fakir bir adamım ve çocuklarım hala küçük, çok teşekkür ederim, Tanrı seni korusun ID: 0x505e8914fd0e926e53ef85ba78b7a4e73db564f36fa62a3585383f7cd33be2c8 大哥，给我发1个eth,我感谢你呀, 大佬呀, 你试大佬啊，你真的是大佬 (Kardeşim, bana 1 et gönder. Teşekkür ederim kardeşim. Sen gerçekten benim kardeşimsin!) Kimlik: 0x14ced8b1ec700ce93413e3e537c75beffd7846a68bbda53cabb5cf641296a02e Seni seviyorum, benimle e-seks yapar mısın? Kimlik: 0x77dfa12c1d21d7385764d48a72c075c12a1ccd843457e4e364e2a7249fbe9cff

Merak ediyorsanız, bilgisayar korsanı veya bilgisayar korsanları en azından aşağıdaki fonları kazanmış gibi görünüyor; aşağıdaki ABD Doları değerleri, ETH1 = 1100 ABD Doları (bu yazının yazıldığı tarihteki kur [2022-) oranına göre hesaplanmıştır. 06-27T17:50Z] aslında 1200 dolara 1100 dolardan daha yakın):

ETH total IN    Approx value    Transaction ID
--------------  --------------  ------------------------------------------------------------------
ETH  4,570.000   $5,027,000.00  0xb4d60d5161b8508098d9c21834377eaded6b8668d205dfe4bfa7b6dd30f7a192
ETH  3,899.000   $4,288,900.00  0x9cdf447483508d632c5531c5dac8ed31486c0f054c0004bc80a9e07521b3d506
ETH  7,077.000   $7,784,700.00  0xb1d78f2eeea53f1624eea3020409d47c55c868ecf3e0f896e672d04f23fac007
ETH  9,850.000  $10,835,000.00  0x9eced2a4fbc3d95a8ea1a10dd4215b6bf7cbc633d06405e9f052a35f11c59f69
ETH  4,439.000   $4,882,900.00  0x4cceded4cce367631ab6cc11288bd0840d9f9a537b982e1b903205f274fc38a4
ETH  4,431.000   $4,874,100.00  0x9cd567022752e35be9bb429e030a28efad63bcd86ffb3c48ac661c5f966e7aab
ETH  7,990.000   $8,789,000.00  0xdd37bafa2b0941df21e5c5f97558462b394a6013f756954700060ccd354f7eb2
ETH  5,380.000   $5,918,000.00  0xc8382891f4c60c86e5485816a3d79dc5a96b77ad1538b3eb1ee747f7cc18bc46
ETH 14,190.000  $15,609,000.00  0x8447ae8f9367d2f9217355065f620c4e099bfe0ecb4db0e94eb2b32246c859c7
ETH  4,965.000   $5,461,500.00  0x6650ff5c97a026258a25f9e8b15f77f68f34f6f9d5fd39b28bcce316f3b8ef87
ETH  4,919.000   $5,410,900.00  0x02a9727da800d2bb2000f346b28e925d3fffcd88f4ec2e5c0df6753dc8873139
ETH     43.394      $47,733.49  0x3eb9dd782d1c80b292c068ad657f444cba842e6757d1f3b4190c79d7651164b2
ETH    911.000   $1,002,100.00  0x134baf1e5da1ad9f2c99cad48149ac629fdf51cb44a14370756dc02c06510b99
ETH     75.000      $82,500.00  0x62a0a9f6a3ce55f7af494a0e8735a2ba00c5f30cc7b662b899db91099a3dfe60
ETH     30.000      $33,000.00  0x31b5e79ea63ffe4cc00521ec5d2224953ee0ce0cc7cf2284063c02dd494d1e15
--------------  -------------- 
ETH 72,769.394  $80,046,333.49

Harmony'ye rağmen bugün erken saatlerde teklif 1,000,000 dolarlık bir “ödül” ve “hiçbir suç duyurusunda bulunulmayacağını” söylemesi…

Horizon köprüsü fonlarının iadesi ve istismar bilgilerinin paylaşılması için 1 milyon dolarlık bir ödül taahhüt ediyoruz.

Whitehat@harmony.one veya 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac ETH adresinden bize ulaşın.

Harmony, fonlar iade edildiğinde hiçbir suç duyurusunda bulunmaz.

- Harmony 💙 (@harmonyprotocol) Haziran 26, 2022

…bilgisayar korsanı, yukarıdaki 72,769 ETH'nin önemli bir kısmını Harmony ile bağlantılı görünmeyen veya en azından Harmony tarafından talep edilmeyen bir hesaba ödemiş gibi görünüyor:

ETH toplamı ÇIKIŞ Yaklaşık değer İşlem Kimliği -------------- -------------- --------------- -------------------------------------------------- - ETH 18,036.300 $19,839,930.00

Görünüşe göre paniğe kapılan en az bir müşteri, diğer yorumcuların bazılarından daha çaresizce ve anlamlı bir şekilde ulaşarak şunları söyledi:

BİŞ! ANNEN SANA HİÇBİR ADALET ÖĞRETMEDİ Mİ? BU NE SADECE 7m GÖNDERİYOR. BİZE BİR ŞEY GÖNDERİN DOĞRU YOL OLDUĞUNUZU BİLDİRİN. OHH, GÖRÜYORUM ŞİMDİ ETER'DE 97m'niz VAR VE SADECE O KREMDEN BİR KÜÇÜK ÇIKARIYORSUNUZ. TAMAM BISH İYİ GÖRÜNÜYORSUNUZ 97M'Yİ GERİ DÖNÜYORSUNUZ VE HARMONY EKİPLERİ BUNA SAYGI GÖSTERMELİ, 3 SİHİRLİ BİR NUMARA VE TÜM BUNLAR SHI. Günlerdir uyumuyorum, BİZE BİR SİNYAL VERİN, HİÇBİR ŞEY!!!! Kimlik: 0x3db5cd2270c27808d282a3efccd33342da69312ba07561e2a11a6f1716b0b259

Ne oldu?

Harmony's eleştiri yazısı Şimdiye kadar, saldırganın veya saldırganların bu soygunu, her imzalayanın özel anahtarının biri yerel, diğeri anahtar sunucusunda olmak üzere iki depolama konumu arasında bölünmüş birden fazla imza sahibi gerektirmesine rağmen gerçekleştirdiğini gösteriyor.

Ne yazık ki, bu vakadaki "çoklu imza" süreci beş güvenilir taraftan ikisinin birlikte imza atmasını gerektirse de, saldırganlar yine de ihtiyaç duyulan beş özel anahtardan ikisini ele geçirmeyi başarmış gibi görünüyor.

Görünen o ki, Harmony artık beş güvenilir taraftan dördünün birlikte imza atmasını talep etmeye karar verdi, ancak beş kişiden ikisinin güvenilmezliğini zaten göstermiş olması nedeniyle bunun "iki güvenilir taraf" gerektiren statükoyu geri yüklemeye eşdeğer olduğunu iddia edebilirsiniz.

Ayrıca Harmony'nin açıklamadığı (ve belki de henüz bilmediği) iki özel anahtarın yetkisiz transferlere yol açan ortak bir nedeni olup olmadığıdır.

Sonuçta, tüm N faktörleri arasında ortak bir başarısızlık noktası varsa, N > 1 olduğunda N faktörlü kimlik doğrulamaya sahip olmanın bir anlamı yoktur.

Örneğin, hem önyükleme sırasındaki parolalarla hem de bir cep telefonu tarafından oluşturulan tek seferlik kod dizileriyle korunan sabit disklere sahip dizüstü bilgisayarınız varsa, etkili bir şekilde 3FA'ya sahip olursunuz; böylece bir saldırganın şunları yapması gerekir: dizüstü bilgisayara sahip olmak; şifreyi biliyorum; ve kullanıcının telefonunun kilidini açabilir veya kod dizisinin kaynağını kurtarabilir.

Ancak şifresini ve kimlik doğrulayıcı tohum kodunu yapışkan bir etikete yazıp dizüstü bilgisayarının altına yapıştıran bir kullanıcınız varsa, o zaman doğrudan 1FA'ya geri dönersiniz: tüm güvenlik dizüstü bilgisayarın elindedir.

O kullanıcı olmayın!

Ve hiçbir arkadaşınızın veya iş arkadaşınızın da bu kullanıcı olmasına izin vermeyin…