À la fin de la semaine dernière, le pont du protocole Harmony vers les réseaux BSC et Ethereum a été exploité, entraînant une perte de 100 millions de dollars en ETH.
Suite à une déclaration curieusement décevante selon laquelle au moins le pont bitcoin n'a pas été affecté, l'équipe Harmony annoncé qu'ils travaillent avec « les autorités nationales et les spécialistes de la médecine légale » afin de récupérer les fonds volés aux exploiteurs encore non identifiés.
Sécurité multi-signatures améliorée
Étant donné que l'exploit a été réalisé en abusant de la faible sécurité du portefeuille multi-signatures d'Harmony, les développeurs du projet ont depuis modifié la configuration multi-sig précédente - nécessitant 2 signatures sur 4 pour traiter une transaction - à une configuration de signature 4 sur 5.
«Nous avons migré le côté Ethereum du pont Horizon vers un multi-sig 4 sur 5 depuis l'incident. Nous continuerons à prendre des mesures pour renforcer davantage la sécurité de nos opérations et de nos infrastructures. Pour réitérer, nous sommes au milieu d'une enquête en cours. Nous continuerons à tenir tout le monde au courant et nous apprécions votre patience et votre soutien. »
Bien que la vulnérabilité initialement signalée par des chercheurs indépendants en avril n'ait été corrigée qu'après la catastrophe, il vaut mieux tard que jamais. L'équipe a également tenté de revenir en arrière sur les échecs passés, proposant d'enterrer la hache de guerre si 99% des fonds étaient restitués – une proposition principalement rencontrée avec humour de potence et dérision générale par la communauté Harmony.
Nous nous engageons à une prime de 1 million de dollars pour le retour des fonds du pont Horizon et le partage d'informations sur les exploits.
Contactez-nous à [email protected] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony plaidera pour l'absence d'accusations criminelles lorsque les fonds seront restitués.
- Harmonie ? (@harmonyprotocol) Le 26 juin 2022
Branche d'olivier complètement ignorée
Contrairement aux heureux fin à la débâcle de l'Optimisme au début du mois, l'exploiteur d'Harmony n'a pas daigné répondre à l'offre d'une prime de 1 million de dollars et a abandonné les charges en échange du retour des ETH restants volés.
Au lieu de cela, l'exploiteur a procédé au blanchiment de l'ETH glissé via TornadoCash, un service souvent utilisé par les cybercriminels afin de masquer l'origine des jetons cryptographiques mal engendrés.
#AlertePeckShield ~ 18 XNUMX $ ETH (~22m) en 0x1e…6430 depuis @harmonyprotocol exploiteurs pic.twitter.com/NN4j5Korsz
– PeckShieldAlert (@PeckShieldAlert) Le 27 juin 2022
Les actifs volés sont blanchis à travers plusieurs transactions à un taux de 100 ETH environ toutes les 6 minutes. Au moment de la rédaction de cet article, plus de 50 millions de dollars d'ETH ont déjà été acheminés via TornadoCash, ce qui signifie un refus des conditions d'Harmony.
La tentative sincère – bien que décevante – de résoudre le problème à l'amiable échoue, Harmony devra s'appuyer sur les spécialistes médico-légaux et les autorités qu'ils ont évoqués au moment de l'attaque.
Cependant, rien ne garantit qu'ils seront en mesure de résoudre la situation non plus. Si tout le reste échoue, cette série d'événements devrait au moins être une révélation pour les membres de la communauté qui ne prennent peut-être pas suffisamment au sérieux la sécurité de leurs projets.
100 $ gratuits Binance (exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (conditions).
Offre spéciale PrimeXBT: Utilisez ce lien pour vous inscrire et entrer le code POTATO50 pour recevoir jusqu'à 7,000 XNUMX $ sur vos dépôts.
Source : https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/