Das Team der Layer-1-Blockchain Harmony hat eine Bug Bounty in Höhe von 1 Million US-Dollar ausgesetzt. Letzte Woche wurden 100 Millionen US-Dollar in Kryptowährung bei einem Hackangriff auf die Horizon Bridge gestohlen. Damit beträgt die Bug Bounty lediglich 1 Prozent der gestohlenen Summe.

Harmony twitterte am 26. Juni, das Team biete 1 Million US-Dollar für die Rückgabe des Geldes, das am 23. Juni von der Horizon Bridge gestohlen wurde. Das Team fügte hinzu: „Harmony wird sich dafür einsetzen, dass bei der Rückgabe der Gelder keine strafrechtlichen Konsequenzen folgen.“

We commit to a $1M bounty for the return of Horizon bridge funds and sharing exploit information.

Contact us at [email protected] or ETH address 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Harmony will advocate for no criminal charges when funds are returned.

— Harmony (@harmonyprotocol) June 26, 2022

Die Community reagiert auf diese Ankündigung und zeigte sich skeptisch, ob diese Summe den Angreifer zur Rückgabe des Geldes bewegt.

Die Horizon Bridge ist eine Token-Brücke zwischen der Harmony-Blockchain und dem Ethereum-Netzwerk, der Binance Chain und Bitcoin. Die Bitcoin-Bridge war dem Harmony-Team zufolge von diesem Exploit nicht betroffen.

Verglichen mit den Bug Bountys bei anderen aufsehenerregenden Hackangriffen in diesem Jahr ist die von Harmony eher gering. Dem Angreifer, der Rari Fuse gehackt hat, wurden im Mai 10 Millionen US-Dollar geboten. Das entsprach 12,5 Prozent der gestohlenen Summe. Das Team von Beanstalk Finance bot 7,6 Millionen US-Dollar, was 10 Prozent des gestohlenen Betrags entsprach.

Die gebotene Bug Bounty von Harmony ist so niedrig, dass der Krypto-Händler Degen Spartan auf Twitter diese als „beleidigende Summe“ bezeichnete. Er fügte hinzu: „Stell dir vor, du verlierst 100 Millionen US-Dollar und denkst, dass du es dir leisten kannst, zu feilschen und eine Bug Bounty in Höhe von 1 Prozent auszusetzen. Diese Leute wollen einfach nur möglichst keine Haftung übernehmen.“

1M?

insulting amount, gfy https://t.co/TgZ0gDOC43

— ì°Œ G è·» じ Goblin of the (@DegenSpartan) June 26, 2022

In einem Update zum Angriff auf Horizon Bridge am 25. Juni twitterte Harmony-Gründer Stephen Tse, der Hack sei nicht auf einen Angriff auf den Smart-Contract-Code zurückzuführen. Das Team habe Beweise dafür gefunden, dass private Schlüssel kompromittiert wurden, was den Angriff ermöglicht habe.

1/ An incident response update on the Horizon bridge hack

Confidentiality is key to maintain integrity as part of this ongoing investigation. The omission of specific details is to protect sensitive data in the interest of our community.

— stephen tse s.one stse.eth (@stse) June 26, 2022

Tse sagte, auf der Ethereum-Seite der Brücke sei man „seit dem Vorfall zu einer 4 von 5 Multisig migriert“. Die Schwachstelle der Multisig-Wallet, bei der man nur zwei von fünf Signaturen benötigt, wurde von einem Community-Mitglied im April bereits angesprochen. Das Problem wurde vom Harmony-Team bis jetzt allerdings nicht behoben.

Eine Multisig-Wallet ist eine Krypto-Wallet, bei der mehrere Schlüsselbesitzer nötig sind, um eine Transaktion zu genehmigen. Diese Wallets werden häufig bei Krypto-Projekten verwendet.

Bis Redaktionsschluss hat der Angreifer das von Horizon Bridge gestohlene Geld noch nicht auf Tornado Cash, einen Ether (ETH)-Mixer oder einen anderen Anonymisierungsdienst überwiesen.

Es besteht zwar noch Hoffnung für Harmony, aber die ausgesetzte Bug Bounty in Höhe von 1 Million US-Dollar steht nicht im geringsten Verhältnis zur Höhe des gestohlenen Betrags. Im Jahr 2021 wurde die Interoperabilitätsplattform Poly Network gehackt und 610 Millionen US-Dollar gestohlen. Die vom Team gebotene Bug Bounty in Höhe von 500.000 US-Dollar entsprach 0,08 Prozent der gestohlenen Summe. Das Angebot wurde zwar abgelehnt, aber dennoch wurde das Geld zurückgegeben.

Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: Twitter und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.