上週晚些時候,Harmony Protocol 與 BSC 和以太坊網絡的橋樑被利用,導致價值 100 億美元的 ETH 損失。
在一個奇怪的平淡無奇的聲明至少比特幣橋沒有受到影響之後,Harmony 團隊 宣布 他們正在與“國家當局和法醫專家”合作,以便從尚未確定身份的剝削者那裡追回被盜資金。
多簽名安全性得到改善
由於該漏洞是通過濫用 Harmony 多重簽名錢包的弱安全性來執行的,因此該項目的開發人員已經 變 之前的多重簽名設置 - 需要 2 個簽名中的 4 個來處理交易 - 到 4 個簽名設置中的 5 個。
“自事件發生以來,我們已將 Horizon 橋的以太坊一側遷移到 4-of-5 多重簽名。 我們將繼續採取措施進一步加強我們的運營和基礎設施安全。 重申一下,我們正在進行調查。 我們將繼續讓每個人都了解最新情況,並感謝您的耐心和支持。”
儘管獨立研究人員最初在 99 月份報告的漏洞僅在災難發生後才得到修復,但遲到總比沒有好。 該團隊還試圖在過去的失敗中倒流,如果 XNUMX% 的資金被歸還,該團隊提出將灰飛煙滅——這一提議大多遭到了絞刑式幽默和 Harmony 社區的普遍嘲笑。
我們承諾提供 1 萬美元的賞金,用於返還 Horizon 橋樑資金並共享漏洞利用信息。
聯繫我們 [電子郵件保護] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony 將主張在退還資金時不提起刑事指控。
——和諧? (@harmonyprotocol) 2022 年 6 月 26 日
橄欖枝完全被忽略
不同於快樂 結束 對於本月早些時候的 Optimism 崩潰,Harmony 剝削者沒有屈尊回應 1 萬美元的懸賞,並放棄了收費以換取剩餘的被盜 ETH。
相反,利用者繼續通過 TornadoCash 清洗被刷過的 ETH,TornadoCash 是網絡犯罪分子經常使用的一種服務,目的是混淆非法獲得的加密代幣的來源。
#PeckShieldAlert 〜18k $ ETH (~22m) 到 0x1e…6430 從 @和諧協議 剝削者 pic.twitter.com/NN4j5Korsz
- PeckShieldAlert(@PeckShieldAlert) 2022 年 6 月 27 日
被盜資產以大約每 100 分鐘 6 ETH 的速度在多筆交易中被清洗。 在撰寫本文時,價值超過 50 萬美元的 ETH 已經通過 TornadoCash 傳輸,這表明 Harmony 的條款遭到拒絕。
由於衷心 - 如果平淡無奇 - 試圖友好地解決問題,Harmony將不得不依靠他們在襲擊時喚起的法醫專家和當局。
但是,也不能保證他們也能夠解決這種情況。 如果一切都失敗了,這一系列事件至少應該讓社區中那些可能沒有足夠重視項目安全的人大開眼界。
資料來源:https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/