Harmony Hacker noraida 1 miljona dolāru Whitehat piedāvājumu, sāk atmazgāt nozagtos līdzekļus

Pagājušās nedēļas beigās tika izmantots Harmony Protocol tilts uz BSC un Ethereum tīkliem, izraisot ETH zaudējumus 100 miljonu USD vērtībā.

Pēc dīvaini neapmierinoša paziņojuma, ka vismaz bitcoin tilts nav ietekmēts, Harmony komanda paziņoja ka viņi strādā ar "valsts iestādēm un tiesu medicīnas speciālistiem", lai atgūtu nozagtos līdzekļus no pagaidām nenoskaidrotajiem izmantotājiem.

Uzlabota Multi-Sig drošība

Tā kā ekspluatācija tika veikta, ļaunprātīgi izmantojot Harmony vairāku signālu maka vājo drošību, projekta izstrādātāji kopš mainīts iepriekšējā vairāku parakstu iestatīšana — transakcijas apstrādei nepieciešami 2 no 4 parakstiem — līdz 4 no 5 parakstu iestatījumam.

“Kopš incidenta mēs esam migrējuši uz Horizon tilta Ethereum pusi uz 4 no 5 vairāku signālu. Mēs turpināsim veikt pasākumus, lai vēl vairāk nostiprinātu mūsu darbību un infrastruktūras drošību. Atkārtoti jāatzīmē, ka pašlaik notiek izmeklēšana. Mēs turpināsim ikvienu informēt par jaunāko informāciju un pateicamies par jūsu pacietību un atbalstu.

Lai gan ievainojamība, par ko sākotnēji ziņoja neatkarīgi pētnieki aprīlī, tika novērsta tikai pēc katastrofas, labāk vēlu nekā nekad. Komanda arī mēģināja pagriezt pagātnes neveiksmju laiku, piedāvājot apglabāt cirvi, ja tiks atgriezti 99% līdzekļu – Harmony kopienas priekšlikums lielākoties tika sagaidīts ar karātavām un vispārēju izsmieklu.

Mēs apņemamies piešķirt 1 miljona dolāru atlīdzību par Horizon tilta līdzekļu atgriešanu un informācijas par izmantošanu.

Sazinieties ar mums [e-pasts aizsargāts] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Saskaņa aizstāvēs nekādu kriminālapsūdzību, kad līdzekļi tiks atgriezti.

— Harmonija? (@harmonyprotocol) Jūnijs 26, 2022

Olīvu zars ir pilnībā ignorēts

Atšķirībā no laimīgajiem beigas uz Optimisma sagrāvi šī mēneša sākumā Harmony izmantotājs necienījās atbildēt uz 1 miljona dolāru atlīdzības piedāvājumu un atteicās no maksas apmaiņā pret atlikušā nozagtā ETH atgriešanu.

Tā vietā izmantotājs sāka atmazgāt pārvilkto ETH, izmantojot TornadoCash — pakalpojumu, ko bieži izmanto kibernoziedznieki, lai slēptu nepareizi dzimušo kriptovalūtu izcelsmi.

#PeckShieldAlert ~18 tūkst $ ETH (~22m) uz 0x1e…6430 no @harmonyprotokols ekspluatētājiem pic.twitter.com/NN4j5Korsz

—PeckShieldAlert (@PeckShieldAlert) Jūnijs 27, 2022

Nozagtie līdzekļi tiek atmazgāti vairākos darījumos ar ātrumu 100 ETH aptuveni ik pēc 6 minūtēm. Rakstīšanas laikā ETH vairāk nekā 50 miljonu ASV dolāru vērtībā jau ir novirzīts caur TornadoCash, kas nozīmē Harmony noteikumu atteikumu.

Tā kā sirsnīgais (ja arī neveiksmīgs) mēģinājums atrisināt problēmu draudzīgi izgāzās, Harmonijai būs jāpaļaujas uz tiesu medicīnas speciālistiem un iestādēm, kuras viņi aicināja uzbrukuma laikā.

Taču nav garantijas, ka arī viņi spēs situāciju atrisināt. Ja nekas cits neizdodas, šai pasākumu sērijai vajadzētu vismaz atvērt acis tiem sabiedrības locekļiem, kuri, iespējams, nepietiekami nopietni uztver savu projektu drošību.