SecondFi бұзылуы: Cardano экожүйесіне нақты зиян мәлімделгеннен бірнеше есе көп болуы мүмкін
Cardano экожүйесі беделге ауыр соққы алды. Бұрын танымал Yoroi әмияны ретінде белгілі болған SecondFi жобасы өзінің әмиян генерациялау бағдарламалық жасақтамасындағы сыни осалдықты пайдалану фактісін растады. Команданың алдын ала мәліметтері бойынша, тікелей шығын шамамен 16 млн ADA (шамамен $2,4 млн) құрайды. Алайда менің on-chain деректеріне талдауым және тәуелсіз сарапшылардың бағалауы нақты пайдаланушы шығындары $20 млн-нан асуы мүмкін екенін көрсетеді.
Тергеу барысында жеке кілттерді жасауға жауапты меншікті кодта олқылық болғаны анықталды. Псевдокездейсоқ сандар генераторындағы ақауға байланысты осы БЖ арқылы жасалған барлық әмияндар бұзылды. Шабуылдаушы кілттерді болжау және қалпына келтіру мүмкіндігіне ие болды, бұл қаражаттың жоғалуына әкелді. Қазіргі уақытта шамамен 178 әмиян қауіп төніп тұрғаны расталды, бірақ бұл сан соңғы болмауы мүмкін.
Бағалаулардағы сәйкессіздік: неліктен $2,4 млн — бұл тек басы ғана
SlowMist қауіпсіздік компаниясының негізін қалаушы Юй Сянь қаражат қозғалысына тәуелсіз талдау жүргізді. Оның деректері апат ауқымы әлдеқайда күрделі екенін көрсетеді. Оның бағалауы бойынша, шабуылдаушының бақыланатын екі мекенжайы 129 млн ADA және басқа токендерге дейінгі шығындармен байланысты болуы мүмкін. Бұл жобаның өз бағасынан сегіз есе көп.
Мұндай үлкен сәйкессіздік қарапайым түсіндіріледі: бұзылған әмияндардың бір бөлігі SecondFi-дің алғашқы есебі кезінде әлі босатылмаған болатын. Бұл кілттерге қол жеткізе алатын шабуылдаушы кез келген уақытта соққы бере алады дегенді білдіреді. Қаражатты алып үлгермеген пайдаланушылар «баяу әрекет ететін бомбаның» үстінде отыр.
Cardano беделіне соққы
Контексті түсіну маңызды. SecondFi — бұл Cardano-ның үш негізін қалаушысының бірі EMURGO компаниясы әзірлеген Yoroi әмиянының ребрендингі. Йоройды миллионнан астам ADA ұстаушысы пайдаланды. Бұл қандай да бір анонимді DeFi жобасы емес, экожүйенің флагмандық өнімі. Сондықтан беделдік салдары мұнда аз белгілі протоколдың бұзылуынан әлдеқайда күрделі.
SecondFi командасы қызметті тоқтатып, баланстардың суретке түсірілімін жасады және өздерінің БЖ арқылы әмиян жасаған барлық пайдаланушыларды активтерді басқа қызметтерге дереу аударуға шақырды. Тергеу жалғасуда, нақты шығын сомасы үшінші тарап компаниясының техникалық аудиті аяқталғаннан кейін жарияланады.
Аналитик пікірі: Бұл оқиға тіпті сенімді әзірлеушілердің «жеңіл» әмияндары да тәуекелдерге ие екенін еске салады. Тек бренд беделіне сүйену — қате. Әрбір пайдаланушы кілт генерациялау кодының жария аудиттерін талап етуге міндетті. Cardano экожүйесі өзінің «тірек» жобалары үшін қатаң қауіпсіздік стандарттарын әзірлемейінше, мұндай оқиғалар бүкіл желіге деген сенімді әлсіретеді.