בסוף השבוע שעבר נוצל הגשר של Harmony Protocol לרשתות BSC ו-Ethereum, מה שהוביל להפסד של 100 מיליון דולר של ETH.
בעקבות הצהרה מרתיעה באופן מוזר שלפחות גשר הביטקוין לא הושפע, צוות הרמוני הודיע כי הם עובדים עם "רשויות לאומיות ומומחים לזיהוי פלילי" במטרה לגבות את הכספים הגנובים מהנצלים שטרם זוהו.
אבטחת Multi-Sig משופרת
בגלל שהניצול בוצע על ידי ניצול לרעה של האבטחה החלשה של ארנק מולטי-sig של Harmony, מפתחי הפרויקט עשו מאז השתנה ההגדרה הקודמת של Multi-Sig - הדורשת 2 מתוך 4 חתימות כדי לעבד עסקה - להגדרת 4 מתוך 5 חתימות.
"העברנו את צד ה-Ethereum של גשר הורייזון למולטי-סיג של 4 מתוך 5 מאז התקרית. אנו נמשיך לנקוט בצעדים להקשיח עוד יותר את הפעילות ואבטחת התשתית שלנו. כדי להדגיש, אנחנו בעיצומה של חקירה מתמשכת. אנו נמשיך לעדכן את כולם ומעריכים את הסבלנות והתמיכה שלכם".
למרות שהפגיעות שדווחה לראשונה על ידי חוקרים עצמאיים באפריל תוקנה רק לאחר אסון, עדיף מאוחר מאשר אף פעם. הצוות גם ניסה להחזיר את השעון לאחור לגבי כישלונות העבר, והציע לקבור את הגרזן אם 99% מהכספים יוחזרו - הצעה שנפגשה בעיקר עם הומור גרדום ולעג כללי מצד קהילת הרמוני.
אנו מתחייבים לפרס של מיליון דולר עבור החזרת כספי הגשר של Horizon ושיתוף מידע ניצול.
צור קשר בכתובת [מוגן בדוא"ל] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony תפעל ללא אישום פלילי כאשר הכספים יוחזרו.
- הרמוניה? (@harmonyprotocol) יוני 26, 2022
התעלמו לחלוטין מענף הזית
בניגוד למאושרים סיום למגרעת האופטימיזם מוקדם יותר החודש, נצלן הרמוני לא התנשא להיענות להצעה של פרס של מיליון דולר והפיל את ההאשמות בתמורה להחזרת ה-ETH שנותר שנגנב.
במקום זאת, המנצל המשיך להלבין את ה-ETH המוחלף באמצעות TornadoCash, שירות המשמש לעתים קרובות פושעי סייבר במטרה לטשטש את מקורם של אסימוני קריפטו שנולדו כהלכה.
#PeckShieldAlert ~ 18k $ ETH (~22m) לתוך 0x1e…6430 מ @harmonyprotocol מנצלים pic.twitter.com/NN4j5Korsz
— PeckShieldAlert (@PeckShieldAlert) יוני 27, 2022
הנכסים הגנובים מלבינים במספר עסקאות בשיעור של 100 ETH בערך כל 6 דקות. בזמן כתיבת שורות אלה, ETH בשווי של יותר מ-50 מיליון דולר כבר נותב דרך TornadoCash, מה שמסמל סירוב לתנאים של Harmony.
כשהניסיון הלבבי - אם לא מוחץ - לפתור את הבעיה בדרכי ידידותיות, הרמוני תצטרך להסתמך על המומחים והרשויות לזיהוי פלילי שהם עוררו בזמן התקיפה.
עם זאת, אין ערובה שגם הם יצליחו לפתור את המצב. אם כל השאר נכשל, סדרת האירועים הזו אמורה להיות לפחות פותחת עיניים עבור אלה בקהילה שאולי לא לוקחים את האבטחה של הפרויקטים שלהם ברצינות מספיק.
Binance חינם $100 (בלעדי): השתמש בקישור זה להירשם ולקבל 100$ בחינם ו-10% הנחה על עמלות על Binance Futures בחודש הראשון (מונחים).
מבצע מיוחד של PrimeXBT: השתמש בקישור זה כדי להירשם ולהזין את קוד POTATO50 כדי לקבל עד $7,000 על ההפקדות שלך.
מקור: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/