Lewat minggu lepas, jambatan Harmony Protocol ke rangkaian BSC dan Ethereum telah dieksploitasi, menyebabkan kerugian ETH bernilai $100 juta.
Berikutan kenyataan yang mengejutkan bahawa sekurang-kurangnya jambatan bitcoin tidak terjejas, pasukan Harmony mengumumkan bahawa mereka sedang bekerjasama dengan "pihak berkuasa negara dan pakar forensik" untuk mendapatkan semula dana yang dicuri daripada pengeksploitasi yang belum dikenal pasti.
Keselamatan Berbilang Sig Dipertingkatkan
Oleh kerana eksploitasi itu dilakukan dengan menyalahgunakan keselamatan dompet multi-sig Harmony yang lemah, pembangun projek itu telah berubah persediaan berbilang sig sebelumnya – memerlukan 2 daripada 4 tandatangan untuk memproses transaksi – kepada persediaan 4 daripada 5 tandatangan.
“Kami telah memindahkan bahagian Ethereum jambatan Horizon kepada 4-dari-5 multi-sig sejak kejadian itu. Kami akan terus mengambil langkah untuk memperkukuhkan lagi operasi dan keselamatan infrastruktur kami. Untuk mengulangi, kami berada di tengah-tengah siasatan yang sedang dijalankan. Kami akan terus memastikan semua orang mendapat maklumat terkini dan menghargai kesabaran dan sokongan anda.”
Walaupun kelemahan yang pada mulanya dilaporkan oleh penyelidik bebas pada bulan April hanya diperbaiki selepas bencana melanda, ia adalah lebih baik lewat daripada tidak sama sekali. Pasukan itu juga cuba memutar balik masa tentang kegagalan masa lalu, menawarkan untuk menguburkan kapak jika 99% dana dikembalikan - satu cadangan yang kebanyakannya dipenuhi dengan jenaka dan cemuhan umum oleh komuniti Harmony.
Kami komited untuk hadiah $1J untuk pemulangan dana jambatan Horizon dan berkongsi maklumat eksploitasi.
Hubungi kami di [e-mel dilindungi] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony akan menyokong tanpa dakwaan jenayah apabila dana dikembalikan.
- Harmoni? (@harmonyprotocol) Jun 26, 2022
Cawangan Zaitun Diabaikan Sepenuhnya
Berbeza dengan yang gembira berakhir kepada bencana Optimisme awal bulan ini, pengeksploitasi Harmony tidak berkenan untuk membalas tawaran hadiah $1 juta dan menggugurkan caj sebagai pertukaran untuk pemulangan baki ETH yang dicuri.
Sebaliknya, pengeksploitasi itu meneruskan untuk mencuci ETH yang dileret melalui TornadoCash, perkhidmatan yang sering digunakan oleh penjenayah siber untuk mengaburkan asal usul token kripto yang tidak diperanakkan.
#PeckShieldAlert ~ 18k $ ETH (~22m) menjadi 0x1e…6430 dari @harmonyprotocol pengeksploitasi pic.twitter.com/NN4j5Korsz
— PeckShieldAlert (@PeckShieldAlert) Jun 27, 2022
Aset yang dicuri sedang dicuci dalam pelbagai urus niaga pada kadar 100 ETH kira-kira setiap 6 minit. Pada masa penulisan, ETH bernilai lebih $50 juta telah pun disalurkan melalui TornadoCash, menandakan penolakan syarat Harmony.
Dengan sepenuh hati – jika kurang memberangsangkan – cubaan menyelesaikan isu itu dengan baik, Harmony perlu bergantung pada pakar forensik dan pihak berkuasa yang mereka bangkitkan semasa serangan itu.
Walau bagaimanapun, tiada jaminan bahawa mereka akan dapat menyelesaikan keadaan sama ada. Jika semuanya gagal, siri acara ini sekurang-kurangnya harus menjadi pembuka mata bagi mereka dalam komuniti yang mungkin tidak mengambil serius tentang keselamatan projek mereka.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/