지난주 말 BSC와 이더리움 네트워크에 대한 하모니 프로토콜의 브리지가 악용되어 100억 달러 상당의 ETH가 손실되었습니다.
적어도 비트코인 브리지는 영향을 받지 않았다는 이상하게도 압도적인 진술에 따라 Harmony 팀은 발표 그들은 아직 확인되지 않은 착취자들로부터 도난당한 자금을 회수하기 위해 "국가 당국 및 법의학 전문가"와 협력하고 있습니다.
다중 서명 보안 개선
이 익스플로잇은 Harmony의 다중 서명 지갑의 취약한 보안을 악용하여 수행되었기 때문에 프로젝트 개발자는 이후 변경 이전의 다중 서명 설정(트랜잭션 처리를 위해 2개 중 4개의 서명 필요)은 4개 중 5개의 서명 설정으로 변경되었습니다.
“사건 이후 우리는 Horizon 브리지의 이더리움 측을 4/5 다중 서명으로 마이그레이션했습니다. 우리는 운영 및 인프라 보안을 더욱 강화하기 위한 조치를 계속 취할 것입니다. 거듭 말씀드리지만 현재 진행 중인 조사가 진행 중입니다. 우리는 계속해서 모든 사람들에게 최신 정보를 제공할 것이며 여러분의 인내와 지원에 감사드립니다.”
99월에 독립적인 연구원들이 처음 보고한 취약점은 재난이 발생한 후에야 수정되었지만, 안 하는 것보다는 늦는 것이 좋습니다. 팀은 또한 자금의 XNUMX%가 반환되면 손도끼를 묻겠다고 제안하면서 과거 실패에 대한 시계를 되돌리려고 시도했습니다. 이 제안은 대부분 하모니 커뮤니티에서 교수형 유머와 일반적인 조소를 받았습니다.
우리는 Horizon 브리지 펀드의 반환 및 익스플로잇 정보 공유를 위해 1백만 달러의 현상금을 약속합니다.
문의 [이메일 보호] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
Harmony는 자금이 반환될 때 형사 고발을 지지하지 않을 것입니다.
— 하모니? (@harmonyprotocol) 2023년 6월 28일
올리브 가지가 완전히 무시됨
행복한 것과는 달리 종결 이번 달 초 낙관론의 참패에 대해 Harmony 익스플로잇은 1만 달러의 현상금 제안에 응답하지 않고 도난당한 나머지 ETH를 반환하는 대가로 청구를 철회했습니다.
대신, 악용자는 악의적으로 생성된 암호화 토큰의 출처를 모호하게 하기 위해 사이버 범죄자들이 자주 사용하는 서비스인 TornadoCash를 통해 스와이프한 ETH를 세탁했습니다.
#PeckShieldAlert ~ 18k $ ETH (~22m) 에서 0x1e… 6430으로 @harmonyprotocol 착취자 pic.twitter.com/NN4j5orsz
— PeckShieldAlert(@PeckShieldAlert) 2023년 6월 28일
도난당한 자산은 대략 100분마다 6ETH의 비율로 여러 거래에서 세탁되고 있습니다. 이 글을 쓰는 시점에서 50천만 달러 이상의 ETH가 이미 TornadoCash를 통해 라우팅되어 Harmony의 조건에 대한 거부를 나타냅니다.
마음에서 우호적으로 문제를 해결하려는 진심 어린 시도(압도적이라면)와 함께 Harmony는 공격 당시 그들이 불러일으킨 법의학 전문가와 당국에 의존해야 할 것입니다.
그러나 그들이 상황을 해결할 수 있다는 보장도 없습니다. 다른 모든 방법이 실패할 경우 이 일련의 이벤트는 프로젝트의 보안을 충분히 심각하게 생각하지 않을 수 있는 커뮤니티의 사람들에게 최소한 눈을 뜨게 해야 합니다.
출처: https://cryptopotato.com/harmony-hacker-declines-1m-whitehat-offer-begins-laundering-stolen-funds/