Geçen haftanın sonlarında, Harmony Protocol'ün BSC ve Ethereum ağlarına olan köprüsünden yararlanıldı ve 100 milyon dolarlık ETH kaybına yol açtı.
Harmony ekibi, en azından bitcoin köprüsünün etkilenmediğine dair merak uyandıran etkileyici bir açıklamanın ardından, açıkladı henüz kimliği belirlenemeyen istismarcılardan çalınan fonları geri almak için “ulusal makamlar ve adli tıp uzmanları” ile birlikte çalıştıklarını söyledi.
Çoklu Sig Güvenliği İyileştirildi
Harmony'nin çoklu imza cüzdanının zayıf güvenliğinin kötüye kullanılmasıyla istismar gerçekleştirildiğinden, projenin geliştiricileri o zamandan beri değişmiş önceki çoklu imza kurulumu - bir işlemin işlenmesi için 2 imzadan 4'sinin gerekli olduğu - 4 imzadan 5'ü ayarına.
“Olaydan bu yana Horizon köprüsünün Ethereum tarafını 4'te 5 çoklu imzaya taşıdık. Operasyonlarımızı ve altyapı güvenliğimizi daha da sertleştirmek için adımlar atmaya devam edeceğiz. Yinelemek gerekirse, devam eden bir soruşturmanın ortasındayız. Herkesi güncel tutmaya devam edeceğiz ve sabrınız ve desteğiniz için teşekkür ederiz.”
Bağımsız araştırmacılar tarafından ilk olarak Nisan ayında rapor edilen güvenlik açığı, yalnızca felaketten sonra düzeltilmiş olsa da, geç olması hiç olmamasından iyidir. Ekip ayrıca geçmişteki başarısızlıklarda zamanı geri almaya çalıştı ve fonların %99'u iade edilirse baltayı gömmeyi teklif etti - bu teklif çoğunlukla Harmony topluluğu tarafından darağacı mizahı ve genel alay ile karşılandı.
Horizon köprüsü fonlarının iadesi ve istismar bilgilerinin paylaşılması için 1 milyon dolarlık bir ödül taahhüt ediyoruz.
Adresinden bize ulaşın [e-posta korumalı] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony, fonlar iade edildiğinde hiçbir suç duyurusunda bulunmaz.
— Uyum? (@uyumprotokol) Haziran 26, 2022
Zeytin Dalı Tamamen Gözardı Edildi
mutlunun aksine bitirme Bu ayın başlarında Optimism fiyaskosuna karşı, Harmony istismarcısı 1 milyon dolarlık ödül teklifine cevap vermeye tenezzül etmedi ve çalınan kalan ETH'nin iadesi karşılığında suçlamaları düşürdü.
Bunun yerine, istismarcı, kötü niyetli kripto tokenlerinin kaynağını gizlemek için siber suçlular tarafından sıklıkla kullanılan bir hizmet olan TornadoCash aracılığıyla çalınan ETH'yi aklamaya başladı.
#PeckShieldUyarı ~ 18k $ ETH (~22m)'den 0x1e…6430'a @filmdenkare sömürücüler pic.twitter.com/NN4j5Korsz
—PeckShieldAlert (@PeckShieldAlert) Haziran 27, 2022
Çalınan varlıklar, yaklaşık her 100 dakikada bir 6 ETH hızında birden fazla işlemde aklanıyor. Yazma sırasında, 50 milyon doların üzerinde ETH TornadoCash üzerinden yönlendirildi ve Harmony'nin şartlarının reddedildiğini gösteriyor.
Sorunu dostane bir şekilde çözmeye yönelik yürekten - ezici olsa da - girişimi ile Harmony, saldırı sırasında çağrılan adli tıp uzmanlarına ve yetkililerine güvenmek zorunda kalacak.
Ancak, durumu çözebileceklerinin de garantisi yoktur. Her şey başarısız olursa, bu olaylar dizisi en azından toplulukta projelerinin güvenliğini yeterince ciddiye almayanlar için bir ufuk açıcı olmalıdır.
Binance Ücretsiz 100$ (Özel): Bu bağlantıyı kullan kayıt olmak ve ilk ay Binance Vadeli İşlemlerinde 100$ ücretsiz ve %10 indirimli ücret almak için (şartlar).
PrimeXBT Özel Teklifi: Bu bağlantıyı kullan Kaydolmak ve depozitolarınızdan 50$'a kadar almak için POTATO7,000 kodunu girmek için.
Kaynak: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/