A fines de la semana pasada, se explotó el puente de Harmony Protocol a las redes BSC y Ethereum, lo que provocó una pérdida de $ 100 millones en ETH.
Después de una declaración curiosamente decepcionante de que al menos el puente de bitcoin no se vio afectado, el equipo de Harmony anunció que están trabajando con “autoridades nacionales y especialistas forenses” para recuperar los fondos robados de los explotadores aún no identificados.
Seguridad multifirma mejorada
Debido a que el exploit se llevó a cabo abusando de la débil seguridad de la billetera multi-sig de Harmony, los desarrolladores del proyecto desde entonces cambiado la configuración anterior de múltiples firmas, que requiere 2 de 4 firmas para procesar una transacción, a una configuración de 4 de 5 firmas.
“Hemos migrado el lado Ethereum del puente Horizon a un multi-sig 4 de 5 desde el incidente. Continuaremos tomando medidas para fortalecer aún más nuestras operaciones y la seguridad de la infraestructura. Para reiterar, estamos en medio de una investigación en curso. Continuaremos manteniendo a todos actualizados y apreciamos su paciencia y apoyo”.
Aunque la vulnerabilidad reportada inicialmente por investigadores independientes en abril solo se solucionó después de que ocurrió el desastre, es mejor tarde que nunca. El equipo también intentó hacer retroceder el tiempo de los fracasos pasados, ofreciendo enterrar el hacha si se devolvía el 99% de los fondos, una propuesta que en su mayoría fue recibida con humor negro y burla general por parte de la comunidad de Harmony.
Nos comprometemos a una recompensa de $ 1 millón por la devolución de los fondos del puente Horizon y el intercambio de información de explotación.
Contáctenos en [email protected] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony abogará por que no se presenten cargos penales cuando se devuelvan los fondos.
- Armonía ? (@protocoloarmonía) Sábado, Junio 26, 2022
Rama de olivo completamente ignorada
A diferencia de los felices fin a la debacle de Optimism a principios de este mes, el explotador de Harmony no se dignó responder a la oferta de una recompensa de $ 1 millón y retiró los cargos a cambio de la devolución del ETH restante robado.
En cambio, el explotador procedió a lavar el ETH robado a través de TornadoCash, un servicio que los ciberdelincuentes suelen utilizar para ofuscar el origen de los tokens criptográficos mal engendrados.
#AlertaPeckShield ~ 18k $ ETH (~22m) en 0x1e…6430 desde @harmonyprotocol explotadores pic.twitter.com/NN4j5Korsz
- PeckShieldAlert (@PeckShieldAlert) Sábado, Junio 27, 2022
Los activos robados se lavan en múltiples transacciones a una tasa de 100 ETH aproximadamente cada 6 minutos. En el momento de redactar este informe, más de 50 millones de dólares en ETH ya se han enrutado a través de TornadoCash, lo que significa un rechazo de los términos de Harmony.
Con el intento sincero, aunque decepcionante, de resolver el problema de manera amistosa fracasando, Harmony tendrá que confiar en los especialistas forenses y las autoridades que evocaron en el momento del ataque.
Sin embargo, tampoco hay garantía de que puedan resolver la situación. Si todo lo demás falla, esta serie de eventos debería ser al menos una revelación para aquellos en la comunidad que pueden no estar tomando la seguridad de sus proyectos lo suficientemente en serio.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/