Alla fine della scorsa settimana, il ponte di Harmony Protocol verso le reti BSC ed Ethereum è stato sfruttato, portando a una perdita di $ 100 milioni di ETH.
A seguito di una dichiarazione curiosamente deludente secondo cui almeno il ponte bitcoin non è stato influenzato, il team di Harmony ha annunciato che stanno lavorando con "autorità nazionali e specialisti forensi" per recuperare i fondi rubati dagli sfruttatori non ancora identificati.
Sicurezza multi-sig migliorata
Poiché l'exploit è stato eseguito abusando della debole sicurezza del portafoglio multi-sig di Harmony, gli sviluppatori del progetto hanno modificato la precedente configurazione multi-sig, che richiedeva 2 firme su 4 per elaborare una transazione, in una firma 4 su 5 impostare.
"Abbiamo migrato il lato Ethereum del ponte Horizon su un multi-sig 4 su 5 dall'incidente. Continueremo ad adottare misure per rafforzare ulteriormente le nostre operazioni e la sicurezza dell'infrastruttura. Per ribadire, siamo nel bel mezzo di un'indagine in corso. Continueremo a tenere tutti aggiornati e apprezzeremo la vostra pazienza e il vostro supporto”.
Sebbene la vulnerabilità inizialmente segnalata da ricercatori indipendenti ad aprile sia stata risolta solo dopo il disastro, è meglio tardi che mai. Il team ha anche tentato di riportare indietro il tempo sui fallimenti passati, offrendo di seppellire l'ascia di guerra se il 99% dei fondi fosse stato restituito, una proposta per lo più accolta con umorismo da forca e derisione generale dalla comunità di Harmony.
Ci impegniamo a ricevere una taglia di 1 milione di dollari per la restituzione dei fondi del ponte Horizon e la condivisione di informazioni sugli exploit.
Contattaci a [email protected] o all'indirizzo ETH 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony sosterrà l'assenza di accuse penali quando i fondi verranno restituiti.
— Armonia
(@harmonyprotocol) 26 giugno 2022
Ramo d'ulivo completamente ignorato
A differenza del lieto fine della debacle di Optimism all'inizio di questo mese, lo sfruttatore di Harmony non si è degnato di rispondere all'offerta di una taglia di 1 milione di dollari e ha ritirato le accuse in cambio della restituzione del restante ETH rubato.
Invece, lo sfruttatore ha proceduto a riciclare l'ETH strisciato tramite TornadoCash, un servizio spesso utilizzato dai criminali informatici per offuscare l'origine di token crittografici illeciti.
#PeckShieldAlert ~18k $ ETH (~22m) in 0x1e…6430 dagli sfruttatori di @harmonyprotocol pic.twitter.com/NN4j5Korsz
— PeckShieldAlert (@PeckShieldAlert) 27 giugno 2022
I beni rubati vengono riciclati attraverso più transazioni a una velocità di 100 ETH all'incirca ogni 6 minuti. Al momento in cui scrivo, oltre $ 50 milioni di ETH sono già stati instradati attraverso TornadoCash, a significare un rifiuto dei termini di Harmony.
Con il sincero, anche se deludente, tentativo di risolvere il problema in modo amichevole, Harmony dovrà fare affidamento sugli specialisti forensi e sulle autorità che hanno evocato al momento dell'attacco.
Tuttavia, non vi è nemmeno alcuna garanzia che saranno in grado di risolvere la situazione. Se tutto il resto fallisce, questa serie di eventi dovrebbe almeno aprire gli occhi a coloro nella comunità che potrebbero non prendere abbastanza sul serio la sicurezza dei loro progetti.