No final da semana passada, a ponte do Protocolo Harmony para as redes BSC e Ethereum foi explorada, levando a uma perda de US$ 100 milhões em ETH.
Após uma declaração curiosamente decepcionante de que pelo menos a ponte bitcoin não foi afetada, a equipe de Harmony anunciou que está trabalhando com "autoridades nacionais e especialistas forenses" para recuperar fundos roubados de exploradores ainda não identificados.
Segurança multi-sig aprimorada
Como a exploração foi realizada abusando da fraca segurança da carteira multi-sig do Harmony, os desenvolvedores do projeto mudaram a configuração multi-sig anterior, que exigia 2 de 4 assinaturas para processar uma transação, em um conjunto de assinaturas de 4 de 5.
"Migramos o lado Ethereum da ponte Horizon para um multi-sig 4 em 5 desde o incidente. Continuaremos a tomar medidas para fortalecer ainda mais nossas operações e segurança de infraestrutura. Para reiterar, estamos no meio de uma investigação sobre Continuaremos a manter todos atualizados e agradecemos sua paciência e apoio."
Embora a vulnerabilidade inicialmente relatada por pesquisadores independentes em abril só tenha sido corrigida após o desastre, é melhor tarde do que nunca. A equipe também tentou voltar no tempo para os fracassos do passado, oferecendo para enterrar o machado se 99% dos fundos fossem devolvidos, uma proposta principalmente recebida com humor negro e zombaria geral pela comunidade Harmony.
Estamos comprometidos em receber uma recompensa de US$ 1 milhão por devolver os fundos da ponte Horizon e compartilhar informações sobre explorações.
Entre em contato conosco em [email protected] ou ETH 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony argumentará que nenhuma acusação criminal é feita quando os fundos são devolvidos.
– Harmonia
(@harmonyprotocol) 26 de junho de 2022
Ramo de oliveira completamente ignorado
Ao contrário do final feliz do desastre do Optimism no início deste mês, o cafetão do Harmony não se dignou a responder à oferta de uma recompensa de US $ 1 milhão e retirou as acusações em troca da devolução do ETH roubado restante. .
Em vez disso, o explorador procedeu à lavagem do ETH rastreado via TornadoCash, um serviço frequentemente usado por cibercriminosos para ofuscar a origem de tokens criptográficos ilícitos.
#PeckShieldAlert ~ 18k $ ETH (~ 22m) em 0x1e… 6430 pelos exploradores do @harmonyprotocolpic.twitter.com/NN4j5Korsz
– PeckShieldAlert (@PeckShieldAlert) 27 de junho de 2022
Os ativos roubados são lavados por meio de várias transações a uma taxa de 100 ETH aproximadamente a cada 6 minutos. No momento da redação deste artigo, mais de US $ 50 milhões em ETH já foram encaminhados através do TornadoCash, significando uma rejeição dos termos da Harmony.
Com uma tentativa sincera, embora decepcionante, de resolver o problema de forma amigável, Harmony terá que contar com os especialistas forenses e autoridades que convocaram no momento do ataque.
No entanto, também não há garantia de que eles serão capazes de corrigir a situação. Se tudo mais falhar, essa série de eventos deve pelo menos abrir os olhos daqueles da comunidade que podem não levar a segurança de seus projetos a sério o suficiente.