Harmony Hacker отклоняет предложение Whitehat на 1 миллион долларов и начинает отмывание украденных средств

В конце прошлой недели был использован мост Harmony Protocols к сетям BSC и Ethereum, что привело к потере ETH на 100 миллионов долларов.

После странного подрывного заявления о том, что, по крайней мере, биткойн-мост не пострадал, команда Harmony объявила, что они работают с «национальными властями и экспертами-криминалистами», чтобы вернуть украденные средства у еще неустановленных пользователей.

Улучшена безопасность Multi-Sig

Поскольку эксплуатация была осуществлена ​​путем злоупотребления слабой защитой мультиподписного кошелька Harmony, разработчики проекта с тех пор измененный предыдущий макет с несколькими подписями, который требует 2 из 4 подписей для обработки транзакции, заменен макетом с 4 из 5 подписей.

«После инцидента мы перевели сторону Ethereum Horizon Bridge на мультиподпись 4 из 5. Мы продолжим предпринимать шаги по дальнейшему укреплению наших операций и безопасности инфраструктуры. Повторяю, мы находимся в разгаре продолжающееся расследование. Мы продолжим держать всех в курсе и благодарим вас за терпение и поддержку».

Хотя уязвимость, о которой первоначально сообщили независимые исследователи в апреле, была устранена только после того, как произошла катастрофа, лучше поздно, чем никогда. Команда также попыталась повернуть время вспять из-за предыдущих ошибок и предложила зарыть топор войны, если 99% средств будут возвращены – предложение, которое в основном было встречено с юмором виселицы и общими насмешками со стороны сообщества Harmony.

Мы обязуемся выплатить вознаграждение в размере 1 миллиона долларов, чтобы вернуть средства Horizon Bridge и поделиться информацией об использовании.

Свяжитесь с нами по адресу [email protected] или по адресу ETH 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Harmony будет выступать за отсутствие уголовных обвинений, когда средства будут возвращены.

– Гармония 💙 (@harmonyprotocol) 26 июня 2022 г.

Оливковая ветвь полностью игнорируется

Вопреки счастливому финалу фиаско Optimism в начале этого месяца, эксплойт Harmony не послужил ответом на предложение о награде в 1 миллион долларов и снятием сборов в обмен на возврат оставшегося украденного ETH.

Вместо этого эксплуататор продолжал отмывать ETH через TornadoCash — сервис, который киберпреступники часто используют для сокрытия происхождения некачественных крипто-токенов.

#PeckShieldAlert ~ 18к $ ETH (~ 22м) в 0x1e… 6430 от @harmonyprotocol эксплуататоры pic.twitter.com/NN4j5Korsz

– PeckShieldAlert (@PeckShieldAlert) 27 июня 2022 г.

Украденные активы отмываются несколькими транзакциями со скоростью 100 ETH примерно каждые 6 минут. На момент написания статьи через TornadoCash уже было направлено ETH на сумму более 50 миллионов долларов, что означает отказ от условий Harmony.

С пылкой, хотя и подавляющей, попыткой решить проблему мирным путем Гармония должна полагаться на судебно-медицинских экспертов и авторитетов, которых они вызвали во время нападения.

Однако нет никакой гарантии, что они смогут разрешить ситуацию. Если ничего не помогает, эта серия мероприятий должна, по крайней мере, открыть глаза тем членам сообщества, которые могут недостаточно серьезно относиться к безопасности своих проектов.