上周晚些时候,Harmony Protocol 与 BSC 和以太坊网络的桥梁被利用,导致价值 100 亿美元的 ETH 损失。
在一个奇怪的平淡无奇的声明至少比特币桥没有受到影响之后,Harmony 团队 公布 他们正在与“国家当局和法医专家”合作,以便从尚未确定身份的剥削者那里追回被盗资金。
多签名安全性得到改善
由于该漏洞利用是通过滥用 Harmony 的多重签名钱包的弱安全性来执行的,因此该项目的开发人员已经 变 之前的多重签名设置 - 需要 2 个签名中的 4 个来处理交易 - 到 4 个签名设置中的 5 个。
“自事件发生以来,我们已将 Horizon 桥的以太坊一侧迁移到 4-of-5 多重签名。 我们将继续采取措施进一步加强我们的运营和基础设施安全。 重申一下,我们正在进行调查。 我们将继续让每个人都了解最新情况,并感谢您的耐心和支持。”
尽管独立研究人员最初在 99 月份报告的漏洞仅在灾难发生后才得到修复,但迟到总比没有好。 该团队还试图在过去的失败中倒流,如果 XNUMX% 的资金被归还,该团队提出将灰飞烟灭——这一提议大多遭到了绞刑式幽默和 Harmony 社区的普遍嘲笑。
我们承诺提供 1 万美元的赏金,用于归还 Horizon 桥梁资金并共享漏洞利用信息。
如果您对此类培训课程感兴趣,想了解更多信息,请您联系 [电子邮件保护] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony 将主张在退还资金时不提起刑事指控。
——和谐? (@harmonyprotocol) 2022 年 6 月 26 日
橄榄枝完全被忽略
不同于快乐 结束 对于本月早些时候的 Optimism 崩溃,Harmony 剥削者没有屈尊回应 1 万美元的悬赏,并放弃了收费以换取剩余的被盗 ETH。
相反,利用者继续通过 TornadoCash 清洗被刷过的 ETH,TornadoCash 是网络犯罪分子经常使用的一种服务,目的是混淆非法获得的加密代币的来源。
#PeckShieldAlert 〜18k $ ETH (~22m) 到 0x1e…6430 从 @harmonyprotocol 剥削者 pic.twitter.com/NN4j5Korsz
- PeckShieldAlert(@PeckShieldAlert) 2022 年 6 月 27 日
被盗资产以大约每 100 分钟 6 ETH 的速度在多笔交易中被清洗。 在撰写本文时,价值超过 50 万美元的 ETH 已经通过 TornadoCash 传输,这表明 Harmony 的条款遭到拒绝。
由于衷心 - 如果平淡无奇 - 试图友好地解决问题,Harmony将不得不依靠他们在袭击时唤起的法医专家和当局。
但是,也不能保证他们也能够解决这种情况。 如果一切都失败了,这一系列事件至少应该让社区中那些可能没有足够重视项目安全的人大开眼界。
资料来源:https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/