No final da semana passada, a ponte do Protocolo Harmony para as redes BSC e Ethereum foi explorada, levando a uma perda de US$ 100 milhões em ETH.
Após uma declaração curiosamente decepcionante de que pelo menos a ponte bitcoin não foi afetada, a equipe do Harmony anunciou que estão trabalhando com “autoridades nacionais e especialistas forenses” para recuperar os fundos roubados dos exploradores ainda não identificados.
Segurança Multi-Sig Aprimorada
Devido que a exploração foi realizada abusando da fraca segurança da carteira multi-sig do Harmony, os desenvolvedores do projeto desde então mudado a configuração multi-sig anterior – exigindo 2 de 4 assinaturas para processar uma transação – para uma configuração de assinatura de 4 de 5.
“Migramos o lado Ethereum da ponte Horizon para um multi-sig 4 de 5 desde o incidente. Continuaremos tomando medidas para fortalecer ainda mais nossas operações e segurança de infraestrutura. Para reiterar, estamos no meio de uma investigação em andamento. Continuaremos a manter todos atualizados e agradecemos sua paciência e apoio.”
Embora a vulnerabilidade inicialmente relatada por pesquisadores independentes em abril só tenha sido corrigida após o desastre, é melhor tarde do que nunca. A equipe também tentou voltar no tempo em relação aos fracassos do passado, oferecendo-se para enterrar o machado se 99% dos fundos fossem devolvidos – uma proposta recebida principalmente com humor negro e escárnio geral pela comunidade Harmony.
Comprometemo-nos com uma recompensa de US$ 1 milhão pelo retorno dos fundos da ponte Horizon e pelo compartilhamento de informações de exploração.
Contacte-nos em [email protegido] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
A Harmony não defenderá acusações criminais quando os fundos forem devolvidos.
— Harmonia? (@harmonyprotocol) 26 de Junho de 2022
Ramo de Oliveira completamente ignorado
Ao contrário do feliz fim para o desastre do Optimism no início deste mês, o explorador do Harmony não se dignou a responder à oferta de uma recompensa de US $ 1 milhão e retirou as acusações em troca da devolução do ETH restante roubado.
Em vez disso, o explorador procedeu à lavagem do ETH roubado via TornadoCash, um serviço frequentemente usado por cibercriminosos para ofuscar a origem de tokens criptográficos mal criados.
#PeckShieldAlerta ~ 18k $ ETH (~22m) em 0x1e…6430 de @harmonyprotocol exploradores pic.twitter.com/NN4j5Korsz
- PeckShieldAlert (@PeckShieldAlert) 27 de Junho de 2022
Os ativos roubados estão sendo lavados em várias transações a uma taxa de 100 ETH aproximadamente a cada 6 minutos. No momento da redação deste artigo, mais de US $ 50 milhões em ETH já foram encaminhados através do TornadoCash, significando uma recusa dos termos da Harmony.
Com a tentativa sincera – embora nada assombrosa – de resolver o problema amigavelmente, Harmony terá que confiar nos especialistas forenses e nas autoridades que invocaram no momento do ataque.
No entanto, também não há garantia de que eles serão capazes de resolver a situação. Se tudo mais falhar, essa série de eventos deve pelo menos ser um alerta para aqueles na comunidade que podem não estar levando a segurança de seus projetos a sério o suficiente.
Binance Grátis $ 100 (Exclusivo): Use este link para se registrar e receber $ 100 grátis e 10% de desconto nas taxas do Binance Futures no primeiro mês (condições).
Oferta especial PrimeXBT: Use este link para se registrar e inserir o código POTATO50 para receber até $ 7,000 em seus depósitos.
Fonte: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/