Akhir pekan lalu, jembatan Harmony Protocol ke jaringan BSC dan Ethereum dieksploitasi, menyebabkan hilangnya ETH senilai $100 juta.
Mengikuti pernyataan aneh yang mengecewakan bahwa setidaknya jembatan bitcoin tidak terpengaruh, tim Harmony mengumumkan bahwa mereka bekerja dengan "otoritas nasional dan spesialis forensik" untuk memulihkan dana yang dicuri dari pengeksploitasi yang belum teridentifikasi.
Keamanan Multi-Sig Ditingkatkan
Karena eksploitasi itu dilakukan dengan menyalahgunakan keamanan yang lemah dari dompet multi-sig Harmony, para pengembang proyek sejak itu berubah pengaturan multi-tanda tangan sebelumnya – membutuhkan 2 dari 4 tanda tangan untuk memproses transaksi – ke pengaturan 4 dari 5 tanda tangan.
“Kami telah memigrasikan sisi Ethereum dari jembatan Horizon ke multi-sig 4-dari-5 sejak insiden itu. Kami akan terus mengambil langkah-langkah untuk lebih memperkuat operasi dan keamanan infrastruktur kami. Untuk mengulangi, kami berada di tengah-tengah penyelidikan yang sedang berlangsung. Kami akan terus memberi kabar terbaru kepada semua orang dan menghargai kesabaran dan dukungan Anda.”
Meskipun kerentanan yang awalnya dilaporkan oleh peneliti independen pada bulan April hanya diperbaiki setelah bencana melanda, lebih baik terlambat daripada tidak sama sekali. Tim juga berusaha untuk memutar balik waktu pada kegagalan masa lalu, menawarkan untuk mengubur kapak jika 99% dari dana dikembalikan – sebuah proposisi yang sebagian besar disambut dengan humor tiang gantungan dan cemoohan umum oleh komunitas Harmony.
Kami berkomitmen untuk hadiah $ 1 juta untuk pengembalian dana jembatan Horizon dan berbagi informasi eksploitasi.
Hubungi kami di [email dilindungi] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony akan mengadvokasi tidak ada tuntutan pidana ketika dana dikembalikan.
- Harmoni? (@harmonyprotocol) Juni 26, 2022
Ranting Zaitun Sepenuhnya Diabaikan
Berbeda dengan bahagia akhir untuk bencana Optimisme awal bulan ini, pengeksploitasi Harmony tidak berkenan untuk membalas tawaran hadiah $ 1 juta dan menjatuhkan biaya dengan imbalan pengembalian sisa ETH yang dicuri.
Sebagai gantinya, pengeksploitasi melanjutkan untuk mencuci ETH yang digesek melalui TornadoCash, layanan yang sering digunakan oleh penjahat dunia maya untuk mengaburkan asal usul token crypto yang tidak sah.
#PeckShieldAlert ~ 18k $ ETH (~22m) menjadi 0x1e…6430 dari @tokopedia pengeksploitasi pic.twitter.com/NN4j5Korsz
– PeckShieldAlert (@PeckShieldAlert) Juni 27, 2022
Aset yang dicuri sedang dicuci di beberapa transaksi dengan kecepatan 100 ETH kira-kira setiap 6 menit. Pada saat penulisan, ETH senilai lebih dari $50 juta telah disalurkan melalui TornadoCash, yang menandakan penolakan persyaratan Harmony.
Dengan upaya sepenuh hati – jika mengecewakan – untuk menyelesaikan masalah secara damai gagal, Harmony harus bergantung pada spesialis forensik dan otoritas yang mereka munculkan pada saat serangan.
Namun, tidak ada jaminan bahwa mereka akan dapat menyelesaikan situasi juga. Jika semuanya gagal, rangkaian acara ini setidaknya harus menjadi pembuka mata bagi mereka yang ada di komunitas yang mungkin tidak menganggap serius keamanan proyek mereka.
Binance Gratis $100 (Eksklusif): Gunakan link ini untuk mendaftar dan menerima $100 gratis dan 10% off biaya di Binance Futures bulan pertama (istilah).
Penawaran Khusus PrimeXBT: Gunakan link ini untuk mendaftar & memasukkan kode POTATO50 untuk menerima hingga $7,000 pada setoran Anda.
Sumber: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/