გასული კვირის ბოლოს, Harmony Protocol-ის ხიდი BSC და Ethereum ქსელებთან იქნა ექსპლუატირებული, რამაც გამოიწვია 100 მილიონი აშშ დოლარის ღირებულების ETH-ის დაკარგვა.
ცნობისმოყვარე დამთრგუნველი განცხადების შემდეგ, რომ მინიმუმ ბიტკოინის ხიდი არ იყო ზემოქმედება, ჰარმონიის გუნდი გამოაცხადა რომ ისინი მუშაობენ „ეროვნულ ხელისუფლებასთან და სასამართლო ექსპერტიზებთან“ ჯერ კიდევ დაუდგენელი ექსპლუატატორებისგან მოპარული თანხების აღდგენის მიზნით.
Multi-Sig უსაფრთხოება გაუმჯობესებულია
იმის გამო, რომ ექსპლოიტი განხორციელდა Harmony's multi-sig საფულის სუსტი უსაფრთხოების ბოროტად გამოყენების გზით, პროექტის შემქმნელებმა მას შემდეგ შეიცვალა წინა მულტი-სიგ კონფიგურაცია - რომელიც მოითხოვს 2-დან 4 ხელმოწერას ტრანზაქციის დასამუშავებლად - 4-დან 5 ხელმოწერის დაყენებამდე.
ინციდენტის შემდეგ ჩვენ გადავიყვანეთ ჰორიზონტის ხიდის ეთერიუმის მხარე 4-დან 5 მულტი-სიგამდე. ჩვენ გავაგრძელებთ ნაბიჯების გადადგმას ჩვენი ოპერაციებისა და ინფრასტრუქტურის უსაფრთხოების კიდევ უფრო გამკაცრებისთვის. კიდევ ერთხელ გავიმეოროთ, ჩვენ ვართ გამოძიების შუაგულში. ჩვენ გავაგრძელებთ ყველას სიახლეებს და ვაფასებთ თქვენს მოთმინებასა და მხარდაჭერას.”
მიუხედავად იმისა, რომ დაუცველობა, რომელიც თავდაპირველად დამოუკიდებელმა მკვლევარებმა აპრილში გამოაცხადეს, მხოლოდ კატასტროფის შემდეგ გამოსწორდა, სჯობს გვიან, ვიდრე არასდროს. გუნდმა ასევე სცადა საათის უკან დაბრუნება წარსულის წარუმატებლობებზე, შესთავაზა ლუქის დამარხვა, თუ თანხების 99% დაბრუნდებოდა - ეს წინადადება უმეტესად მოჰყვა ჯოჯოხეთურ იუმორს და ზოგადად დაცინვას Harmony საზოგადოების მხრიდან.
ჩვენ ვიღებთ ვალდებულებას 1 მილიონი დოლარის ბონუსს ჰორიზონტის ხიდის სახსრების დასაბრუნებლად და ექსპლოიტის ინფორმაციის გაზიარებისთვის.
დაგვიკავშირდით [ელ.ფოსტით დაცულია] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
თანხის დაბრუნებისას Harmony მხარს დაუჭერს სისხლის სამართლის პასუხისგებაში მიცემას.
- ჰარმონია? (@harmonyprotocol) ივნისი 26, 2022
ზეთისხილის რტო სრულიად იგნორირებულია
ბედნიერებისგან განსხვავებით დამთავრებული ამ თვის დასაწყისში ოპტიმიზმის რღვევის გამო, Harmony-ის ექსპლუატატორმა არ მოიწონა პასუხის გაცემა 1 მილიონი დოლარის ბონუსის შეთავაზებაზე და ჩამოაგდო გადასახადები დარჩენილი მოპარული ETH-ის დაბრუნების სანაცვლოდ.
ამის ნაცვლად, ექსპლუატატორმა გააგრძელა გაფუჭებული ETH-ის გათეთრება TornadoCash-ის მეშვეობით, სერვისი, რომელსაც ხშირად იყენებდნენ კიბერკრიმინალები, რათა გაერკვიათ არასასურველი კრიპტო ტოკენების წარმოშობა.
#PeckShieldAlert K 18 კგ $ ETH (~22მ) 0x1e…6430-დან @ ჰარმონიპროტოკოლი ექსპლუატატორები pic.twitter.com/NN4j5Korsz
— PeckShieldAlert (@PeckShieldAlert) ივნისი 27, 2022
მოპარული აქტივების გათეთრება ხდება მრავალი ტრანზაქციის დროს 100 ETH სიჩქარით, დაახლოებით ყოველ 6 წუთში. წერის მომენტში, 50 მილიონ დოლარზე მეტი ღირებულების ETH უკვე გადატანილია TornadoCash-ის მეშვეობით, რაც ნიშნავს Harmony-ის პირობებზე უარს.
საკითხის მეგობრულად გადაწყვეტის გულწრფელი - თუ არადამაჯერებელი - მცდელობის ჩავარდნის შემთხვევაში, Harmony-ს მოუწევს დაეყრდნოს სასამართლო სპეციალისტებს და ავტორიტეტებს, რომლებიც მათ თავდასხმის დროს გამოიწვიეს.
თუმცა, არ არსებობს გარანტია, რომ ისინიც შეძლებენ სიტუაციის მოგვარებას. თუ ყველაფერი ვერ მოხერხდა, ღონისძიებების ეს სერია მაინც უნდა იყოს თვალის ახელი საზოგადოებისთვის, ვინც შესაძლოა საკმარისად სერიოზულად არ აღიქვას მათი პროექტების უსაფრთხოება.
Binance უფასო $100 (ექსკლუზიური): გამოიყენეთ ეს ბმული დარეგისტრირდეთ და მიიღოთ $100 უფასო და 10% ფასდაკლება Binance Futures-ის პირველ თვეში (ტერმინები).
PrimeXBT სპეციალური შეთავაზება: გამოიყენეთ ეს ბმული დარეგისტრირდით და შეიყვანეთ POTATO50 კოდი, რომ მიიღოთ $7,000-მდე თქვენს დეპოზიტებზე.
წყარო: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/