Harmony Hacker 拒绝 100 万美元的 Whitehat 报价，开始洗钱被盗资金

上周晚些时候，Harmony Protocol 与 BSC 和以太坊网络的桥梁被利用，导致价值 1 亿美元的 ETH 损失。

在一个奇怪的平淡无奇的声明至少比特币桥没有受到影响之后，Harmony 团队宣布他们正在与“国家当局和法医专家”合作，以便从尚未确定身份的剥削者那里追回被盗资金。

多签名安全性改进

由于该漏洞是通过滥用 Harmony 的多重签名钱包的弱安全性来执行的，因此该项目的开发人员已经将之前的多重签名设置（需要 4 个签名中的 2 个来处理交易）更改为 4 个5 个签名设置。

“自事件发生以来，我们已将 Horizo​​n 桥的以太坊一侧迁移到 4-of-5 多重签名。我们将继续采取措施进一步加强我们的运营和基础设施安全。重申一下，我们正在进行调查。我们将继续让每个人都了解最新信息，感谢您的耐心和支持。”

尽管独立研究人员最初在 4 月份报告的漏洞仅在灾难发生后才得到修复，但迟到总比没有好。该团队还试图在过去的失败中倒流，提出如果 99% 的资金都归还了，那就打消念头——这一提议大多遭到了幽默和 Harmony 社区的普遍嘲笑。

我们承诺悬赏 100 万美元，用于返还 Horizo​​n 桥梁资金并共享漏洞利用信息。

通过 whitehat@harmony.one 或 ETH 地址 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac 联系我们。

Harmony 将主张在退还资金时不提起刑事指控。

——Harmony (@harmonyprotocol) 2022 年 6 月 26 日

橄榄枝完全被忽略

与本月早些时候 Optimism 崩溃的圆满结局不同，Harmony 剥削者并没有屈尊回应 100 万美元的悬赏，而是放弃了收费以换取剩余的被盗 ETH。

相反，利用者继续通过 TornadoCash 清洗被刷过的 ETH，这是网络犯罪分子经常使用的一种服务，目的是混淆非法加密代币的来源。

#PeckShieldAlert ~18k $ETH (~22m) into 0x1e…6430 from @harmonyprotocol exploiters pic.twitter.com/NN4j5Korsz

– PeckShieldAlert (@PeckShieldAlert) 2022 年 6 月 27 日

被盗资产以大约每 6 分钟 100 ETH 的速度在多笔交易中被清洗。在撰写本文时，价值超过 5000 万美元的 ETH 已经通过 TornadoCash 转出，这表明 Harmony 的条款遭到拒绝。

由于衷心 – 如果平淡无奇 – 试图友好地解决问题失败了，Harmony 将不得不依靠他们在袭击时唤起的法医专家和当局。

但是，也不能保证他们也能够解决问题。如果一切都失败了，这一系列事件至少应该让社区中那些可能没有足够重视项目安全的人大开眼界。