Harmony Hacker відхиляє пропозицію Whitehat на 1 мільйон доларів і починає відмивати вкрадені кошти

Наприкінці минулого тижня був використаний міст Harmony Protocol до мереж BSC та Ethereum, що призвело до втрати ETH на суму 100 мільйонів доларів.

Після дивно приголомшливої ​​заяви про те, що принаймні біткойн-міст не постраждав, команда Harmony оголошений що вони співпрацюють з «національними органами влади та експертами-криміналістами», щоб повернути викрадені кошти у поки що невідомих експлуататорів.

Покращена безпека Multi-Sig

Через те, що експлойт було здійснено шляхом зловживання слабкою безпекою гаманця Harmony з кількома підписами, розробники проекту з тих пір змінилися попереднє налаштування з кількома підписами – для обробки транзакції потрібно 2 з 4 підписів – до налаштування 4 з 5 підписів.

«З моменту інциденту ми перейшли на сторону Ethereum мосту Horizon до 4-з 5-ти. Ми продовжуватимемо вживати заходів для посилення безпеки наших операцій та інфраструктури. Ще раз повторю, ми перебуваємо в середині розслідування. Ми будемо продовжувати тримати всіх в курсі новин і цінуємо ваше терпіння та підтримку».

Хоча вразливість, про яку спочатку повідомляли незалежні дослідники у квітні, була виправлена ​​лише після катастрофи, краще пізно, ніж ніколи. Команда також спробувала повернути годинник минулих невдач, запропонувавши поховати сокир, якщо буде повернено 99% коштів – пропозиція здебільшого зустрілася з гумором на шибениці та загальним насмішкою з боку спільноти Harmony.

Ми зобов’язуємось отримати винагороду в розмірі 1 мільйона доларів за повернення коштів Horizon bridge та обмін інформацією про експлойти.

Зв'яжіться з нами за адресою [захищено електронною поштою] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Harmony буде виступати за відсутність кримінальних звинувачень, коли кошти повернуть.

— Гармонія? (@harmonyprotocol) 26 Червня, 2022.

Оливкова гілка повністю проігнорована

На відміну від щасливих закінчення У зв’язку з катастрофою Optimism на початку цього місяця, експлуататор Harmony не погодився відповісти на пропозицію винагороди в розмірі 1 мільйона доларів і зняв звинувачення в обмін на повернення решти вкрадених ETH.

Замість цього експлуататор відмивав отриманий ETH через TornadoCash, послугу, яку часто використовують кіберзлочинці, щоб приховати походження неправомірно народжених крипто-токенів.

#PeckShieldAlert ~18 тис $ ETH (~22 м) у 0x1e…6430 від @harmonyprotocol експлуататорів pic.twitter.com/NN4j5Korsz

—PeckShieldAlert (@PeckShieldAlert) 27 Червня, 2022.

Викрадені активи відмиваються за допомогою кількох транзакцій зі швидкістю 100 ETH приблизно кожні 6 хвилин. На момент написання статті ETH на суму понад 50 мільйонів доларів уже було направлено через TornadoCash, що означає відмову від умов Harmony.

У зв’язку з тим, що щира – хоча й невиразна – спроба вирішити проблему мирним шляхом провалилася, Harmony доведеться покладатися на експертів-криміналістів та авторитет, яких вони викликали під час нападу.

Проте немає гарантії, що вони зможуть вирішити ситуацію. Якщо все інше не вдасться, ця серія подій має принаймні відкрити очі для тих, хто, можливо, не сприймає безпеку своїх проектів достатньо серйозно.