Sa huling bahagi ng nakaraang linggo, ang tulay ng Harmony Protocol sa BSC at Ethereum network ay pinagsamantalahan, na humantong sa pagkawala ng $100 milyon na halaga ng ETH.
Kasunod ng isang nakakagulat na nakakagulat na pahayag na hindi bababa sa bitcoin bridge ay hindi naapektuhan, ang Harmony team anunsyado na nakikipagtulungan sila sa "mga pambansang awtoridad at mga espesyalista sa forensic" upang mabawi ang mga ninakaw na pondo mula sa hindi pa nakikilalang mga mapagsamantala.
Pinahusay na Multi-Sig Security
Dahil ang pagsasamantala ay isinagawa sa pamamagitan ng pag-abuso sa mahinang seguridad ng multi-sig wallet ng Harmony, ang mga dev ng proyekto ay mula noon nagbago ang nakaraang multi-sig na setup – nangangailangan ng 2 sa 4 na lagda upang magproseso ng isang transaksyon – sa isang 4 sa 5 signature setup.
“Inilipat namin ang Ethereum side ng Horizon bridge sa isang 4-of-5 multi-sig mula noong insidente. Patuloy tayong magsasagawa ng mga hakbang upang higit pang patigasin ang ating mga operasyon at seguridad sa imprastraktura. Upang ulitin, kami ay nasa gitna ng isang patuloy na pagsisiyasat. Patuloy naming panatilihing napapanahon ang lahat at pinahahalagahan namin ang iyong pasensya at suporta.
Bagama't ang kahinaan na unang iniulat ng mga independiyenteng mananaliksik noong Abril ay naayos lamang pagkatapos ng sakuna, ito ay mas mahusay na huli kaysa hindi kailanman. Sinubukan din ng koponan na ibalik ang orasan sa mga nakaraang kabiguan, na nag-aalok na ibaon ang hatchet kung 99% ng mga pondo ay ibinalik - isang panukala na kadalasang natutugunan ng bitayan na katatawanan at pangkalahatang panunuya ng komunidad ng Harmony.
Kami ay nangangako sa isang $1M na pabuya para sa pagbabalik ng Horizon bridge funds at pagbabahagi ng impormasyon sa pagsasamantala.
Makipag-ugnay sa amin sa [protektado ng email] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Isusulong ng Harmony ang walang mga kasong kriminal kapag naibalik ang mga pondo.
— Harmony ? (@harmonyprotocol) Hunyo 26, 2022
Olive Branch Ganap na Binalewala
Hindi tulad ng masaya wakas sa Optimism debacle sa unang bahagi ng buwang ito, ang Harmony exploiter ay hindi nagtangkilik na tumugon sa alok ng $1 milyon na bounty at ibinaba ang mga singil kapalit ng pagbabalik ng natitirang ETH na ninakaw.
Sa halip, ang mapagsamantala ay nagpatuloy sa paglalaba ng na-swipe na ETH sa pamamagitan ng TornadoCash, isang serbisyo na kadalasang ginagamit ng mga cybercriminal upang i-obfuscate ang pinagmulan ng mga ill-begotten crypto token.
#PeckShieldAlert ~ 18k $ ETH (~22m) sa 0x1e...6430 mula sa @harmonyprotocol mga mapagsamantala pic.twitter.com/NN4j5Korsz
— PeckShieldAlert (@PeckShieldAlert) Hunyo 27, 2022
Nilalaba ang mga ninakaw na asset sa maraming transaksyon sa rate na 100 ETH halos bawat 6 na minuto. Sa oras ng pagsulat, mahigit $50 milyon na halaga ng ETH ang nai-ruta na sa TornadoCash, na nagpapahiwatig ng pagtanggi sa mga tuntunin ng Harmony.
Sa taos-pusong - kung hindi kapani-paniwala - pagtatangka na lutasin ang isyu nang maayos, kakailanganing umasa si Harmony sa mga forensic na espesyalista at awtoridad na kanilang ginawa sa oras ng pag-atake.
Gayunpaman, walang garantiya na magagawa rin nilang lutasin ang sitwasyon. Kung ang lahat ay mabibigo, ang serye ng mga kaganapan na ito ay dapat na maging isang pagbubukas ng mata para sa mga nasa komunidad na maaaring hindi gaanong sineseryoso ang seguridad ng kanilang mga proyekto.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/