別の日、別のDe-Fi(分散型ファイナンス)攻撃。
今回、「オープンで高速なブロックチェーン」と自称するオンラインスマートコントラクト会社Harmonyは、80,000,000万ドル以上のEtherクリプトコインを奪われました。
驚くべきことに(またはあなたの視点によっては当然のことながら)、訪問した場合 ハーモニーのウェブサイト、あなたはおそらくビジネスがちょうど苦しんだ大規模な損失に完全に気づかないことになるでしょう。
ウェブサイトからリンクされているビジネスの公式ブログでさえ、それについて言及していません。
最新のブログ記事は2022年の初めにさかのぼり、タイトルが付けられています 失われた資金の調査レポート.
残念ながら、 それらの 失われた資金は これらの 失われた資金。
どうやら、今年の初めに、 それらの 失われた資金は、19人の個人が25万をわずかに超えるハーモニーのONEトークンの調子に引き裂かれたときに発生し、その後、明らかにそれぞれ約XNUMXUSセントの価値がありました。
ハーモニーは04年2022月XNUMX日に、次のように申し出ました。
私たちは容疑者にハーモニー財団と連絡を取り、すべての資金を返還する機会を提供したいと考えています。 ハーモニーは、私たちがあなたの完全な協力を得る限り、それ以上の法的措置を追求したり、あなたの身元を明らかにしたりすることはありません。 チームは、検証できる限り、この盗難がどのように行われたかを明らかにするための報奨金を提供します。
悪名高いハッキングでは機能したように見えますが、企業が履歴を書き換えて、許可されていない、おそらく違法なハッキングが実際に合法的な研究であると偽って提供することが合法かどうかはわかりません。 $ 600百万ハック ポリネットワークの。
その場合の加害者は、金が犯罪の背後にある動機ではないと主張するために、巧妙に貧弱な英語で書かれた、好奇心旺盛な疑似政治的ブロックチェーンの発表をすべて大文字で行いました。
最終的には、ニックネームを採用してクラッカーに好意をカリー化した後 ホワイトハット氏、Poly Networks(私たち自身を含む多くの人々の驚いたことに)は彼らの資金のほとんどを取り戻しました。
また、多くの国で容疑者の捜査、起訴、起訴を決定するのは州であるため、被害者からの「起訴を押収しない」という申し出が起訴からどれだけ隔離されるかはわかりません。刑事犯罪。
英国などの一部の国では、国家が望まない場合、個人(専門家団体や慈善団体を含む)に私的訴追を行う権利を与えていますが、犯罪被害者に「当然の権利」を与えていません。州がそうすることを望む場合、州が事件を起訴するのを防ぐ。
それにもかかわらず、XNUMX億ドル以上を回収するというPoly Networksの予期せぬ成功により、他の暗号通貨ビジネスは、おそらく他にできることはあまりないという理由で、この「スレートをきれいに拭く」アプローチを試すようになりました。
しかし、そうではありません うまくいくようです ひどく頻繁に。
確かに2022年XNUMX月のハーモニーではうまくいかなかったようですが、加害者が得られなかった利益をまだ現金化できていない場合、彼らは申し出を受け入れなかったことを後悔するかもしれません。
ハーモニーの偽の「バグバウンティオファー」が期限切れになった15年2022月0.35日までに、XNUMXつのトークンはXNUMXドルでピークに達しましたが、それ以降は下に沈んでいます。 2.5セント それぞれ、CoinGeckoによると。
もう一度、違反しないように
それでも、ハーモニーはバグバウンティベースの歴史修正主義的アプローチをもう一度試み、Etherブロックチェーンを介して2022年XNUMX月のハッカーに連絡して次のように述べています。
The Harmony team is interested in communicating and negotiating. Please reach out at [メール保護] to start a conversation. Communication can be anonymous. ID: 0xc8f0dbe83ef36ab59c1fd57099d5ed98c65ff71d0cc69d0084ca570ee26141bb
それ以来、他の多くのチャンス、ジョーカー、クリプトコメンテーターもブロックチェーンにステップアップして…
テクノロジーは主要な生産力です、素晴らしい、偉大な神様、私にトークンをくれますように、幸運を祈って完璧に逃げてください ID: x337edbfeb3c6aba36b02e90015be51f0057995eebbe6d8d1f26205ed8449d19c 1 はあなたを祝福します 6 はストレスを感じます ID: 0x08b7f4914dab2170 cdc2ed2cc9760c8478bb3652670cb2fe16f5302c3ad98701 こんにちは、あなたのスキルだと思いますとても上手で、とても尊敬しています。 あなたが捜査を受けていると聞きました。 がんばって。 また、可能であれば少しイーサリアムを送ってもらえますか? 私は貧しい男で、養わなければならない家族がいます、そして私の子供たちはまだ幼いです、本当にありがとう、神のご加護を ID: 0x505e8914fd0e926e53ef85ba78b7a4e73db564f36fa62a3585383f7cd33be2c8 大哥、给我发1个eth、我感谢你呀、大佬呀、你试大佬啊,你真的是大佬 (兄さん、1 eth 送ってください。ありがとう、兄さん。あなたは本当に僕の兄さんです!) ID: 0x14ced8b1ec700ce93413e3e537c75beffd7846a68bbda53cabb5cf641296a02e 愛しています、私と e セックスしてくれませんか? ID: 0x77dfa12c1d21d7385764d48a72c075c12a1ccd843457e4e364e2a7249fbe9cff
ご参考までに、ハッカーは少なくとも次の資金を使って利益を上げているようです。以下のUS $値は、ETH1 = US $ 1100(執筆時点でのレート[2022- 06-27T17:50Z]は実際には$1200よりも$1100に近いです):
ETH total IN Approx value Transaction ID -------------- -------------- ------------------------------------------------------------------ ETH 4,570.000 $5,027,000.00 0xb4d60d5161b8508098d9c21834377eaded6b8668d205dfe4bfa7b6dd30f7a192 ETH 3,899.000 $4,288,900.00 0x9cdf447483508d632c5531c5dac8ed31486c0f054c0004bc80a9e07521b3d506 ETH 7,077.000 $7,784,700.00 0xb1d78f2eeea53f1624eea3020409d47c55c868ecf3e0f896e672d04f23fac007 ETH 9,850.000 $10,835,000.00 0x9eced2a4fbc3d95a8ea1a10dd4215b6bf7cbc633d06405e9f052a35f11c59f69 ETH 4,439.000 $4,882,900.00 0x4cceded4cce367631ab6cc11288bd0840d9f9a537b982e1b903205f274fc38a4 ETH 4,431.000 $4,874,100.00 0x9cd567022752e35be9bb429e030a28efad63bcd86ffb3c48ac661c5f966e7aab ETH 7,990.000 $8,789,000.00 0xdd37bafa2b0941df21e5c5f97558462b394a6013f756954700060ccd354f7eb2 ETH 5,380.000 $5,918,000.00 0xc8382891f4c60c86e5485816a3d79dc5a96b77ad1538b3eb1ee747f7cc18bc46 ETH 14,190.000 $15,609,000.00 0x8447ae8f9367d2f9217355065f620c4e099bfe0ecb4db0e94eb2b32246c859c7 ETH 4,965.000 $5,461,500.00 0x6650ff5c97a026258a25f9e8b15f77f68f34f6f9d5fd39b28bcce316f3b8ef87 ETH 4,919.000 $5,410,900.00 0x02a9727da800d2bb2000f346b28e925d3fffcd88f4ec2e5c0df6753dc8873139 ETH 43.394 $47,733.49 0x3eb9dd782d1c80b292c068ad657f444cba842e6757d1f3b4190c79d7651164b2 ETH 911.000 $1,002,100.00 0x134baf1e5da1ad9f2c99cad48149ac629fdf51cb44a14370756dc02c06510b99 ETH 75.000 $82,500.00 0x62a0a9f6a3ce55f7af494a0e8735a2ba00c5f30cc7b662b899db91099a3dfe60 ETH 30.000 $33,000.00 0x31b5e79ea63ffe4cc00521ec5d2224953ee0ce0cc7cf2284063c02dd494d1e15 -------------- -------------- ETH 72,769.394 $80,046,333.49
ハーモニーにもかかわらず、今日の初め 提供すること 1,000,000ドルの「報奨金」であり、「刑事告発なしで提唱する」と述べています…
ホライゾンブリッジの資金を返還し、エクスプロイト情報を共有するために、1万ドルの報奨金を約束します。
連絡先: [メール保護] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.
ハーモニーは、資金が返還されたときに刑事責任を問われないことを主張します。
—ハーモニー💙(@harmonyprotocol) 2022 年 6 月 26 日
…ハッカーは、ハーモニーと関係がないように見えるアカウント、または少なくともハーモニーによって請求されていないアカウントに、上記のETH72,769のかなりの部分を支払ったようです。
ETH合計OUT概算値トランザクションID---------------------------- --------------- -------------------------------------------------- -ETH 18,036.300 $ 19,839,930.00 0x2f259dec682ccd6517c09b771d6edb439f1925e87b562a72649a708fdd0511e1
少なくともXNUMX人の明らかにパニックに陥った顧客は、他のコメント投稿者の何人かよりも必死にそして雄弁に連絡を取りました。
ビッシュ! ママはマナーも教えてくれなかったの? この送信は 7 メートルのみです。 あなたが正しい道を歩んでいることを知らせる何かを送ってください。 ああ、なるほど、今あなたはエーテル内に97メートルあり、そのクリームを少し取り除いたところですね。 オーケー、ビッシュ、調子はいいよ、97M とハーモニー クルーはそれを尊重するはずだということを返してください。3 は魔法の数字であり、すべてのことです。 何日も眠れていないので、何でもいいから信号を送ってください!!!! ID: 0x3db5cd2270c27808d282a3ecccd33342da69312ba07561e2a11a6f1716b0b259
何が起こったのか?
ハーモニーの 書き上げる これまでのところ、攻撃者がこの強盗を引っ張ったことを示唆していますが、不正なトランザクションでは複数の署名者が必要であり、各署名者の秘密鍵はローカルとキーサーバーのXNUMXつのストレージロケーションに分割されています。
残念ながら、この場合の「マルチシグ」プロセスでは、XNUMXつの信頼できる当事者のうちXNUMXつが共同署名する必要がありましたが、それでも攻撃者は必要なXNUMXつの秘密鍵のうちXNUMXつを侵害できたようです。
どうやら、ハーモニーは現在、XNUMXつの信頼できる当事者のうちXNUMXつに共同署名を要求することを決定しましたが、XNUMXつのうちXNUMXつがすでに信頼性を示していないため、「XNUMXつの信頼できる当事者」を要求するという現状を回復することに相当します。
また、Harmonyが明らかにしていない(そしてまだ知らないかもしれない)のは、不正な転送につながるXNUMXつの秘密鍵の侵害に共通の理由があったかどうかです。
結局のところ、すべてのN要素間に共通の障害点がある場合、N>1のN要素認証を使用しても意味がありません。
たとえば、起動時のパスワードと携帯電話によって生成された3回限りのコードシーケンスの両方で保護されたハードディスクを搭載したラップトップを使用している場合、事実上XNUMXFAを使用しているため、攻撃者は次のことを行う必要があります。 パスワードを知っている; また、ユーザーの電話のロックを解除するか、コードシーケンスのシードを回復することができます。
ただし、パスワードとオーセンティケーターシードコードを粘着ラベルに書き込んでラップトップの下部に貼り付けるユーザーがいる場合は、1FAに戻ります。すべてのセキュリティはラップトップ自体にあります。
そのユーザーにならないでください!
また、友達や同僚をそのユーザーにしないでください…
