Ende letzter Woche wurde die Brücke des Harmony-Protokolls zu den Netzwerken BSC und Ethereum ausgenutzt, was zu einem Verlust von ETH im Wert von 100 Millionen Dollar führte.
Nach einer merkwürdig überwältigenden Aussage, dass zumindest die Bitcoin-Brücke nicht betroffen sei, hat das Harmony-Team angekündigt dass sie mit „nationalen Behörden und forensischen Spezialisten“ zusammenarbeiten, um die gestohlenen Gelder von den noch nicht identifizierten Ausbeutern wiederzuerlangen.
Multi-Sig-Sicherheit verbessert
Da der Exploit durch Missbrauch der schwachen Sicherheit von Harmonys Multi-Sig-Brieftasche ausgeführt wurde, haben die Entwickler des Projekts dies inzwischen getan geändert das vorherige Multi-Sig-Setup – das 2 von 4 Unterschriften erfordert, um eine Transaktion zu verarbeiten – zu einem 4 von 5-Signatur-Setup.
„Seit dem Vorfall haben wir die Ethereum-Seite der Horizon Bridge auf eine 4-von-5-Multi-Sig migriert. Wir werden weiterhin Schritte unternehmen, um unsere Betriebs- und Infrastruktursicherheit weiter zu verbessern. Um es noch einmal zu wiederholen, wir befinden uns mitten in einer laufenden Untersuchung. Wir werden weiterhin alle auf dem Laufenden halten und wissen Ihre Geduld und Unterstützung zu schätzen.“
Obwohl die Schwachstelle, die ursprünglich im April von unabhängigen Forschern gemeldet wurde, erst behoben wurde, nachdem die Katastrophe eingetreten war, ist es besser spät als nie. Das Team versuchte auch, die Zeit vergangener Misserfolge zurückzudrehen und bot an, das Kriegsbeil zu begraben, wenn 99 % der Gelder zurückerstattet würden – ein Vorschlag, der von der Harmony-Community meist mit Galgenhumor und allgemeinem Hohn aufgenommen wurde.
Wir verpflichten uns zu einer Prämie von 1 Mio. USD für die Rückgabe von Horizon-Bridge-Geldern und den Austausch von Exploit-Informationen.
Kontaktieren Sie uns unter [E-Mail geschützt] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony wird sich dafür einsetzen, dass keine strafrechtlichen Anklagen erhoben werden, wenn Gelder zurückgegeben werden.
— Harmonie? (@harmonyprotocol) 26. Juni 2022
Olivenzweig komplett ignoriert
Im Gegensatz zu den Glücklichen Ende Nach dem Optimismus-Debakel Anfang dieses Monats ließ sich der Ausbeuter von Harmony nicht dazu herab, auf das Angebot einer Prämie von 1 Million Dollar zu antworten, und ließ die Anklage im Austausch für die Rückgabe der verbleibenden gestohlenen ETH fallen.
Stattdessen fuhr der Exploiter fort, die erbeuteten ETH über TornadoCash zu waschen, einen Dienst, der häufig von Cyberkriminellen genutzt wird, um die Herkunft von schlecht gezeugten Krypto-Token zu verschleiern.
#PeckShieldAlert ~ 18k $ ETH (~22m) in 0x1e…6430 aus @harmonyprotocol Ausbeuter pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) 27. Juni 2022
Die gestohlenen Vermögenswerte werden über mehrere Transaktionen hinweg mit einer Rate von 100 ETH etwa alle 6 Minuten gewaschen. Zum Zeitpunkt des Verfassens dieses Artikels wurden bereits ETH im Wert von über 50 Millionen US-Dollar durch TornadoCash geleitet, was eine Ablehnung der Bedingungen von Harmony bedeutet.
Da der von Herzen kommende – wenn auch nicht überzeugende – Versuch, das Problem einvernehmlich zu lösen, scheitert, muss sich Harmony auf die forensischen Spezialisten und Behörden verlassen, die sie zum Zeitpunkt des Angriffs herbeigerufen haben.
Es gibt jedoch auch keine Garantie, dass sie in der Lage sein werden, die Situation zu lösen. Wenn alles andere fehlschlägt, sollte diese Veranstaltungsreihe zumindest ein Augenöffner für diejenigen in der Community sein, die die Sicherheit ihrer Projekte möglicherweise nicht ernst genug nehmen.
Binance Free $100 (exklusiv): Benutze diesen Link um sich zu registrieren und im ersten Monat $100 gratis und 10% Rabatt auf die Gebühren für Binance Futures zu erhalten (AGB).
PrimeXBT Sonderangebot: Benutze diesen Link um sich zu registrieren und den POTATO50-Code einzugeben, um bis zu $7,000 auf Ihre Einzahlungen zu erhalten.
Quelle: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/