Το Harmony Blockchain χάνει σχεδόν 100 εκατομμύρια δολάρια λόγω παραβίασης ιδιωτικών κλειδιών

Μια άλλη μέρα, άλλη μια επίθεση De-Fi (αποκεντρωμένη χρηματοδότηση).

Αυτή τη φορά, η διαδικτυακή εταιρεία έξυπνων συμβάσεων Harmony, η οποία αυτοπροτείνεται ως «ανοιχτό και γρήγορο blockchain», έχει κλαπεί από κρυπτονομίσματα Ether αξίας άνω των 80,000,000 δολαρίων.

Παραδόξως (ή αναπάντεχα, ανάλογα με την άποψή σας), εάν επισκεφθείτε Ο ιστότοπος της Harmony, πιθανότατα θα καταλήξετε εντελώς να μην γνωρίζετε την τεράστια απώλεια που μόλις υπέστη η επιχείρηση.

Ακόμη και το επίσημο ιστολόγιο της επιχείρησης, με σύνδεσμο από τον ιστότοπο, δεν το αναφέρει.

Το πιο πρόσφατο άρθρο ιστολογίου χρονολογείται από τις αρχές του 2022 και έχει τον τίτλο Έκθεση Έρευνας Απωλεσθέντων Κεφαλαίων.

Δυστυχώς, εκείνοι τα χαμένα κεφάλαια δεν είναι αυτοί χαμένα κεφάλαια.

Προφανώς, στην αρχή της χρονιάς, εκείνοι χαμένα κεφάλαια συνέβησαν όταν πέντε άτομα κατασχέθηκαν σε ποσό πάνω από 19 εκατομμύρια μάρκες ONE της Harmony, που τότε προφανώς άξιζε περίπου 25 σεντς το καθένα.

Η Harmony έκανε μια προσφορά, στις 04 Ιανουαρίου 2022, δηλώνοντας ότι:

Θέλουμε να δώσουμε στον ύποπτο την ευκαιρία να επικοινωνήσει με το Ίδρυμα Harmony και να επιστρέψει όλα τα χρήματα. Η Harmony δεν θα προχωρήσει σε περαιτέρω νομικές ενέργειες ούτε θα καταστρέψει την ταυτότητά σας, εφόσον λάβουμε την πλήρη συνεργασία σας. Η ομάδα θα σας προσφέρει ένα μπόνους για να αποκαλύψει πώς έγινε αυτή η κλοπή, εφόσον μπορεί να επικυρωθεί.

Δεν είμαστε σίγουροι αν είναι νόμιμο για μια εταιρεία να προσφέρει να ξαναγράψει ιστορία για να προσποιηθεί ότι ένα μη εξουσιοδοτημένο και πιθανώς παράνομο hack ήταν στην πραγματικότητα νόμιμη έρευνα, αν και φαινόταν να λειτουργεί στο διαβόητο 600 εκατομμύρια δολάρια της Poly Networks.

Ο δράστης σε εκείνη την περίπτωση έκανε μια σειρά από περίεργες ψευδοπολιτικές ανακοινώσεις blockchain ΟΛΑ ΜΕ ΚΕΦΑΛΑΙΑ, γραμμένες σε τεχνητά φτωχά αγγλικά, για να ισχυριστεί ότι τα χρήματα δεν ήταν το κίνητρο πίσω από το έγκλημα.

Σε τελική ανάλυση, μετά την εύνοια του κράκερ υιοθετώντας το ψευδώνυμο Κύριε White Hat, η Poly Networks (προς έκπληξη πολλών ανθρώπων, συμπεριλαμβανομένου του δικού μας) πήρε πίσω το μεγαλύτερο μέρος των κεφαλαίων τους.

Δεν είμαστε επίσης βέβαιοι πόση μόνωση από τη δίωξη είναι πιθανό να προσφέρει οποιαδήποτε προσφορά από το θύμα να μην «διώξει κατηγορίες», δεδομένου ότι σε πολλές χώρες, είναι το κράτος που συνήθως λαμβάνει την απόφαση να ερευνήσει, να κατηγορήσει και να διώξει υπόπτους για ποινικά αδικήματα.

Ορισμένες χώρες, όπως η Αγγλία, δίνουν σε ιδιώτες (συμπεριλαμβανομένων επαγγελματικών οργανώσεων ή φιλανθρωπικών οργανώσεων) το δικαίωμα να ασκήσουν ιδιωτική δίωξη εάν το κράτος δεν θέλει να το κάνει, αλλά δεν δίνουν στα θύματα εγκληματικών πράξεων το «συνεπακόλουθο δικαίωμα» να εμποδίσει το κράτος να διώξει μια υπόθεση εάν το θέλει.

Παρόλα αυτά, η απροσδόκητη επιτυχία της Poly Networks στην ανάκτηση περισσότερων από μισό δισεκατομμύριο δολάρια ενθάρρυνε άλλες επιχειρήσεις κρυπτονομισμάτων να δοκιμάσουν αυτήν την προσέγγιση «καθαρίστε την πλάκα», πιθανώς με το σκεπτικό ότι συχνά δεν μπορούν να κάνουν πολλά άλλα.

Αλλά δεν το κάνει φαίνεται να λειτουργεί τρομερά συχνά.

Σίγουρα δεν φαινόταν να λειτουργεί για την Harmony τον Ιανουάριο του 2022, αν και αν ο δράστης δεν έχει καταφέρει ακόμα να εξαργυρώσει τα παράνομα κέρδη του, μπορεί να μετανιώσει που δεν δέχτηκε την προσφορά.

Έως τις 15 Ιανουαρίου 2022, όταν έληξε η ψεύτικη «προσφορά bounty bug» της Harmony, τα κουπόνια ONE κορυφώθηκαν στα 0.35 $, αλλά έκτοτε έχουν πέσει κάτω 2.5 σεντ το καθένα, σύμφωνα με το CoinGecko.

Για άλλη μια φορά στη μη παραβίαση

Αυτό δεν εμπόδισε την Harmony να δοκιμάσει την ιστορική αναθεωρητική προσέγγιση που βασίζεται σε bug bounty για άλλη μια φορά, επικοινωνώντας με τον χάκερ του Ιουνίου 2022 μέσω του blockchain Ether για να πει:

The Harmony team is interested in communicating and negotiating.
Please reach out at [προστασία μέσω email] to start a conversation.
Communication can be anonymous.
ID: 0xc8f0dbe83ef36ab59c1fd57099d5ed98c65ff71d0cc69d0084ca570ee26141bb

Έκτοτε, πολλοί άλλοι καγκελάριοι, τζόκερ και κρυπτοσχολιαστές έχουν μπει επίσης στο blockchain για να πουν…

Technology is the primary productive force, amazing,
great god, I hope you can give me some tokens,
I wish you good luck and get away perfectly
ID: x337edbfeb3c6aba36b02e90015be51f0057995eebbe6d8d1f26205ed8449d19c

1 for bless you
6 for stress you
ID: 0x08b7f4914dab2170cdc2ed2cc9760c8478bb3652670cb2fe16f5302c3ad98701

Hello, I think your skills are very good and I admire you very much.
I heard that you are being investigated. I wish you good luck.
Also, can you send me a little eth if you can?
I am a poor man with a family to support and my children are still young,
thank you so much, God bless you
ID: 0x505e8914fd0e926e53ef85ba78b7a4e73db564f36fa62a3585383f7cd33be2c8

大哥，给我发1个eth,我感谢你呀，大佬呀，你试大佬啊，你真的是大佬
(Bro, send me 1 eth. I thank you, bro. You really are my bro!)
ID: 0x14ced8b1ec700ce93413e3e537c75beffd7846a68bbda53cabb5cf641296a02e

I love you, will you have e-sex with me?
ID: 0x77dfa12c1d21d7385764d48a72c075c12a1ccd843457e4e364e2a7249fbe9cff

Σε περίπτωση που αναρωτιέστε, ο χάκερ ή οι χάκερ φαίνεται να έχουν απομακρυνθεί με τουλάχιστον τα ακόλουθα κεφάλαια, με τις τιμές των $ US παρακάτω να υπολογίζονται με βάση το επιτόκιο ETH1 = US $1100 (το ποσοστό τη στιγμή της σύνταξης [2022- 06-27T17:50Z] είναι στην πραγματικότητα πιο κοντά στα 1200 $ από τα 1100 $):

ETH total IN    Approx value    Transaction ID
--------------  --------------  ------------------------------------------------------------------
ETH  4,570.000   $5,027,000.00  0xb4d60d5161b8508098d9c21834377eaded6b8668d205dfe4bfa7b6dd30f7a192
ETH  3,899.000   $4,288,900.00  0x9cdf447483508d632c5531c5dac8ed31486c0f054c0004bc80a9e07521b3d506
ETH  7,077.000   $7,784,700.00  0xb1d78f2eeea53f1624eea3020409d47c55c868ecf3e0f896e672d04f23fac007
ETH  9,850.000  $10,835,000.00  0x9eced2a4fbc3d95a8ea1a10dd4215b6bf7cbc633d06405e9f052a35f11c59f69
ETH  4,439.000   $4,882,900.00  0x4cceded4cce367631ab6cc11288bd0840d9f9a537b982e1b903205f274fc38a4
ETH  4,431.000   $4,874,100.00  0x9cd567022752e35be9bb429e030a28efad63bcd86ffb3c48ac661c5f966e7aab
ETH  7,990.000   $8,789,000.00  0xdd37bafa2b0941df21e5c5f97558462b394a6013f756954700060ccd354f7eb2
ETH  5,380.000   $5,918,000.00  0xc8382891f4c60c86e5485816a3d79dc5a96b77ad1538b3eb1ee747f7cc18bc46
ETH 14,190.000  $15,609,000.00  0x8447ae8f9367d2f9217355065f620c4e099bfe0ecb4db0e94eb2b32246c859c7
ETH  4,965.000   $5,461,500.00  0x6650ff5c97a026258a25f9e8b15f77f68f34f6f9d5fd39b28bcce316f3b8ef87
ETH  4,919.000   $5,410,900.00  0x02a9727da800d2bb2000f346b28e925d3fffcd88f4ec2e5c0df6753dc8873139
ETH     43.394      $47,733.49  0x3eb9dd782d1c80b292c068ad657f444cba842e6757d1f3b4190c79d7651164b2
ETH    911.000   $1,002,100.00  0x134baf1e5da1ad9f2c99cad48149ac629fdf51cb44a14370756dc02c06510b99
ETH     75.000      $82,500.00  0x62a0a9f6a3ce55f7af494a0e8735a2ba00c5f30cc7b662b899db91099a3dfe60
ETH     30.000      $33,000.00  0x31b5e79ea63ffe4cc00521ec5d2224953ee0ce0cc7cf2284063c02dd494d1e15
--------------  --------------
ETH 72,769.394  $80,046,333.49

Νωρίτερα σήμερα, παρά την Αρμονία προσφορά μια «δωρεά» 1,000,000 δολαρίων και λέγοντας ότι «θα συνηγορήσει για μη ποινικές κατηγορίες»…

Δεσμευόμαστε για επιβράβευση 1 εκατομμυρίου $ για την επιστροφή κεφαλαίων Horizon bridge και την κοινή χρήση πληροφοριών εκμετάλλευσης.

Επικοινωνήστε μαζί μας στο [προστασία μέσω email] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Η Harmony θα υποστηρίξει την απουσία ποινικών διώξεων όταν επιστραφούν τα χρήματα.

— Harmony 💙 (@harmonyprotocol) Ιούνιος 26, 2022

…ο χάκερ φαίνεται να έχει πληρώσει ένα σημαντικό κομμάτι του παραπάνω ETH72,769 σε έναν λογαριασμό που δεν φαίνεται να συνδέεται με το Harmony ή τουλάχιστον δεν διεκδικείται από την Harmony:

Σύνολο ETH OUT Κατά προσέγγιση τιμή Αναγνωριστικό συναλλαγής -------------- -------------- --------------- -------------------------------------------------- - ETH 18,036.300 19,839,930.00 $ 0x2f259dec682ccd6517c09b771d6edb439f1925e87b562a72649a708fdd0511e1

Τουλάχιστον ένας φαινομενικά πανικόβλητος πελάτης έχει επικοινωνήσει πιο απελπισμένα και εύγλωττα από κάποιους άλλους σχολιαστές για να πει:

BISH! DIDN'T YO MAMA TEACH YOU NO MANNERS?
WHAT THIS SENDING 7m ONLY.
JUST SEND US SOMETHING LET US KNOW
YOU TAKING THE RIGHTEOUS PATH.
OHH I SEE SO NOW YOU HAVE 97m IN ETHER AND
JUST TAKING OFF A LITTLE OF THAT CREAM.
OKAY BISH LOOKING GOOD YOU RETURN THAT 97M
AND HARMONY CREW GOTS TO RESPECT THAT,
3 A MAGIC NUMBER AND ALL THAT SHI.
I AIN'T SLEPT FOR DAYS,
GIVE US A SIGNAL BISH, ANYTHING!!!!
ID: 0x3db5cd2270c27808d282a3efccd33342da69312ba07561e2a11a6f1716b0b259

Τι συνέβη;

Αρμονία εγγραφή μέχρι στιγμής υποδηλώνει ότι ο εισβολέας ή οι εισβολείς απέσπασαν αυτή τη ληστεία, παρόλο που οι δόλιες συναλλαγές απαιτούσαν πολλούς υπογράφοντες, με κάθε υπογράφοντα να έχει το ιδιωτικό του κλειδί χωρισμένο σε δύο τοποθεσίες αποθήκευσης, μία τοπική και μία σε διακομιστή κλειδιών.

Δυστυχώς, φαίνεται ότι, παρόλο που η διαδικασία "πολλαπλού ελέγχου" σε αυτήν την περίπτωση απαιτούσε δύο από τα πέντε αξιόπιστα μέρη να συνυπογράψουν, οι εισβολείς κατάφεραν ωστόσο να παραβιάσουν δύο από τα πέντε ιδιωτικά κλειδιά που χρειάζονταν.

Προφανώς, η Harmony αποφάσισε τώρα να απαιτήσει από τέσσερα από τα πέντε έμπιστα μέρη να συνυπογράψουν, αν και θα μπορούσατε να υποστηρίξετε ότι με τα δύο από τα πέντε να έχουν ήδη αποδείξει την αναξιοπιστία τους, αυτό ισοδυναμεί με την αποκατάσταση του status quo της απαίτησης «δύο αξιόπιστων μερών».

Επίσης, αυτό που δεν έχει αποκαλύψει η Harmony (και ίσως να μην γνωρίζει ακόμη) είναι αν υπήρχε κοινός λόγος για τον συμβιβασμό των δύο ιδιωτικών κλειδιών που οδήγησαν στις μη εξουσιοδοτημένες μεταφορές.

Σε τελική ανάλυση, δεν έχει νόημα να υπάρχει έλεγχος ταυτότητας N-factor όπου N > 1 εάν υπάρχει ένα κοινό σημείο αποτυχίας μεταξύ όλων των N παραγόντων.

Για παράδειγμα, εάν έχετε φορητούς υπολογιστές με σκληρούς δίσκους που προστατεύονται τόσο από κωδικούς πρόσβασης εκκίνησης όσο και από αλληλουχίες κωδικών μίας χρήσης που δημιουργούνται από ένα κινητό τηλέφωνο, έχετε ουσιαστικά 3FA, έτσι ώστε ένας εισβολέας να χρειάζεται: να κατέχει τον φορητό υπολογιστή. γνωρίζουν τον κωδικό πρόσβασης? και είτε να μπορείτε να ξεκλειδώσετε το τηλέφωνο του χρήστη είτε να ανακτήσετε το seed για την ακολουθία κωδικών.

Αλλά αν έχετε έναν χρήστη που γράφει τον κωδικό πρόσβασής του και τον αρχικό κωδικό του ελέγχου ταυτότητας σε μια κολλώδη ετικέτα και τον επικολλά στο κάτω μέρος του φορητού υπολογιστή του, τότε επιστρέφετε κατευθείαν στο 1FA: όλη η ασφάλεια ανήκει στην κατοχή του ίδιου του φορητού υπολογιστή.

Μην είσαι αυτός ο χρήστης!

Και μην αφήσετε κανέναν από τους φίλους ή τους συναδέλφους σας να είναι αυτός ο χρήστης, ούτε…

Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.

Το blockchain Harmony χάνει σχεδόν 100 εκατομμύρια δολάρια λόγω χακαρισμένων ιδιωτικών κλειδιών

Για άλλη μια φορά στη μη παραβίαση

Τι συνέβη;

Κυκλοφόρησε το νέο λογισμικό επιθεώρησης τροφίμων για τη δημόσια υγεία από την Inspect2go

Η Consensys, ένας στόχος για την επίθεση της SEC στο ETH, αντεπιτίθεται

Τελευταία Νοημοσύνη

Ο επικεφαλής υλικού AR της Meta παρουσιάζει διαφανή γυαλιά AR επόμενης γενιάς με ευρύ οπτικό πεδίο

Τα CryptoPunks ηγούνται των πωλήσεων NFT με πάνω από 12 εκατομμύρια δολάρια ΗΠΑ

Αναπτύξτε τη μικρή επιχείρησή σας με το Influencer Marketing το 2024

Το Ethereum βρίσκεται στην κορυφή της αγοράς NFT, τερματίζει την πτώση πωλήσεων 20 ημερών κάτω από 10 εκατ. δολάρια

Τι είναι το FUD γύρω από το Ethereum και πώς επηρεάζει το ETH;

Συνομιλία με μας

Νοημοσύνη δεδομένων Πλάτωνα.Κάθετη Αναζήτηση & Αι.

Το blockchain Harmony χάνει σχεδόν 100 εκατομμύρια δολάρια λόγω χακαρισμένων ιδιωτικών κλειδιών

Για άλλη μια φορά στη μη παραβίαση

Τι συνέβη;

Τελευταία Νοημοσύνη

Συνομιλία με μας

Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.