Ende letzter Woche, Harmony Protocol’s Bridge zum BSC und Ethereum Netzwerke wurden ausgenutzt, was zu einem Verlust von ETH im Wert von 100 Millionen Dollar führte.
Nach einer merkwürdig enttäuschenden Aussage, dass zumindest die Bitcoin-Brücke nicht betroffen sei, gab das Harmony-Team bekannt, dass es mit „nationalen Behörden und forensischen Spezialisten“ zusammenarbeitet, um die gestohlenen Gelder von den noch nicht identifizierten Ausbeutern zurückzuerhalten.
Multi-Sig-Sicherheit verbessert
Da der Exploit durch Missbrauch der schwachen Sicherheit von Harmonys Multi-Sig-Wallet durchgeführt wurde, haben die Entwickler des Projekts seitdem das vorherige Multi-Sig-Setup – das 2 von 4 Signaturen zur Verarbeitung einer Transaktion erfordert – in eine 4 von 5-Signatur geändert Konfiguration.
„Wir haben die migriert Ethereum Seite der Horizon-Brücke zu einem 4-von-5-Multi-Sig seit dem Vorfall. Wir werden weiterhin Schritte unternehmen, um unsere Betriebs- und Infrastruktursicherheit weiter zu verbessern. Um es noch einmal zu wiederholen, wir befinden uns mitten in einer laufenden Untersuchung. Wir werden weiterhin alle auf dem Laufenden halten und wissen Ihre Geduld und Unterstützung zu schätzen.“
Obwohl die Schwachstelle, die ursprünglich im April von unabhängigen Forschern gemeldet wurde, erst behoben wurde, nachdem die Katastrophe eingetreten war, ist es besser spät als nie. Das Team versuchte auch, die Zeit vergangener Misserfolge zurückzudrehen und bot an, das Kriegsbeil zu begraben, wenn 99 % der Gelder zurückerstattet würden – ein Vorschlag, der von der Harmony-Community meist mit Galgenhumor und allgemeinem Hohn aufgenommen wurde.
Wir verpflichten uns zu einer Prämie von 1 Mio. USD für die Rückgabe von Horizon-Bridge-Geldern und den Austausch von Exploit-Informationen.
Kontaktieren Sie uns unter whitehat@harmony.one oder ETH-Adresse 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony wird sich dafür einsetzen, dass keine strafrechtlichen Anklagen erhoben werden, wenn Gelder zurückgegeben werden.
– Harmonie 💙 (@harmonyprotocol) 26. Juni 2022
Olivenzweig komplett ignoriert
Im Gegensatz zum Happy End des Optimismus-Debakels Anfang dieses Monats hat sich der Harmony-Exploiter nicht dazu herabgelassen, auf das Angebot einer Prämie von 1 Million Dollar zu antworten und die Anklage im Austausch für die Rückgabe der verbleibenden gestohlenen ETH fallen zu lassen.
Stattdessen fuhr der Exploiter fort, die erbeuteten ETH über TornadoCash zu waschen, einen Dienst, der häufig von Cyberkriminellen genutzt wird, um die Herkunft von schlecht gezeugten Krypto-Token zu verschleiern.
#PeckShieldAlert ~18k $ETH (~22m) in 0x1e…6430 von @harmonyprotocol Exploiters pic.twitter.com/NN4j5Korsz
– PeckShieldAlert (@PeckShieldAlert) 27. Juni 2022
Die gestohlenen Vermögenswerte werden über mehrere Transaktionen hinweg mit einer Rate von 100 ETH etwa alle 6 Minuten gewaschen. Zum Zeitpunkt des Verfassens dieses Artikels wurden bereits ETH im Wert von über 50 Millionen US-Dollar durch TornadoCash geleitet, was eine Ablehnung der Bedingungen von Harmony bedeutet.
Da der von Herzen kommende – wenn auch nicht überzeugende – Versuch, das Problem einvernehmlich zu lösen, scheitert, muss sich Harmony auf die forensischen Spezialisten und Behörden verlassen, die sie zum Zeitpunkt des Angriffs herbeigerufen haben.
Es gibt jedoch auch keine Garantie, dass sie in der Lage sein werden, die Situation zu lösen. Wenn alles andere fehlschlägt, sollte diese Veranstaltungsreihe zumindest ein Augenöffner für diejenigen in der Community sein, die die Sicherheit ihrer Projekte möglicherweise nicht ernst genug nehmen.
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
