Alla fine della scorsa settimana, è stato sfruttato il ponte del protocollo Harmony verso le reti BSC ed Ethereum, portando a una perdita di $ 100 milioni di ETH.
A seguito di una dichiarazione curiosamente deludente secondo cui almeno il ponte bitcoin non è stato influenzato, il team di Harmony ha annunciato che stanno lavorando con "autorità nazionali e specialisti forensi" per recuperare i fondi rubati dagli sfruttatori non ancora identificati.
Sicurezza multi-sig migliorata
Dato che l'exploit è stato compiuto abusando della debole sicurezza del portafoglio multi-sig di Harmony, gli sviluppatori del progetto hanno da allora cambiato la precedente configurazione multi-sig, che richiedeva 2 firme su 4 per elaborare una transazione, a una configurazione di 4 firme su 5.
"Abbiamo migrato il lato Ethereum del ponte Horizon su un multi-sig 4 su 5 dall'incidente. Continueremo ad adottare misure per rafforzare ulteriormente le nostre operazioni e la sicurezza dell'infrastruttura. Per ribadire, siamo nel mezzo di un'indagine in corso. Continueremo a tenere tutti aggiornati e apprezzeremo la vostra pazienza e il vostro supporto”.
Sebbene la vulnerabilità inizialmente segnalata da ricercatori indipendenti ad aprile sia stata risolta solo dopo il disastro, è meglio tardi che mai. Il team ha anche tentato di riportare indietro il tempo sui fallimenti passati, offrendo di seppellire l'ascia di guerra se il 99% dei fondi fosse stato restituito, una proposta per lo più accolta con umorismo da forca e derisione generale dalla comunità di Harmony.
Ci impegniamo a ricevere una taglia di 1 milione di dollari per la restituzione dei fondi del ponte Horizon e la condivisione di informazioni sugli exploit.
Contattaci: [email protected] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony sosterrà l'assenza di accuse penali quando i fondi verranno restituiti.
— Armonia? (@harmonyprotocol) 26 Giugno 2022
Ramo d'ulivo completamente ignorato
A differenza dei felici finale alla debacle di Optimism all'inizio di questo mese, lo sfruttatore di Harmony non si è degnato di rispondere all'offerta di una taglia di 1 milione di dollari e ha ritirato le accuse in cambio della restituzione del restante ETH rubato.
Invece, lo sfruttatore ha proceduto a riciclare l'ETH strisciato tramite TornadoCash, un servizio spesso utilizzato dai criminali informatici per offuscare l'origine di token crittografici illeciti.
#Allerta PeckShield ~ 18k $ ETH (~22m) in 0x1e…6430 da @harmonyprotocol sfruttatori pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) 27 Giugno 2022
I beni rubati vengono riciclati in più transazioni a una velocità di 100 ETH all'incirca ogni 6 minuti. Al momento in cui scrivo, oltre $ 50 milioni di ETH sono già stati instradati attraverso TornadoCash, a significare un rifiuto dei termini di Harmony.
Con il sincero, anche se deludente, tentativo di risolvere il problema in modo amichevole, Harmony dovrà fare affidamento sugli specialisti forensi e sulle autorità che hanno evocato al momento dell'attacco.
Tuttavia, non vi è nemmeno alcuna garanzia che saranno in grado di risolvere la situazione. Se tutto il resto fallisce, questa serie di eventi dovrebbe almeno aprire gli occhi a coloro nella comunità che potrebbero non prendere abbastanza sul serio la sicurezza dei loro progetti.
Binance Free $ 100 (esclusivo): Usa questo link per registrarti e ricevere $100 gratuiti e il 10% di sconto sulle commissioni su Binance Futures il primo mese (condizioni).
Offerta speciale PrimeXBT: Usa questo link per registrarti e inserire il codice POTATO50 per ricevere fino a $ 7,000 sui tuoi depositi.
Fonte: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/