SecondFi бұзылуы: әмиянның сыни осалдығы салдарынан 16 млн ADA ағып кетті

Cardano экожүйесі беделге ауыр соққы алды: бұрын Yoroi Wallet деп танымал болған SecondFi платформасы эксплойтке ұшырап, нәтижесінде зиянкестер шамамен 16 миллион ADA шығарып әкетті. Оқиға 23 маусымда тіркелді, содан кейін жоба командасы платформаны қауіпсіз қызмет көрсету режиміне көшіріп, интерфейс арқылы барлық пайдаланушы операцияларын бұғаттады.
Менің деректерім бойынша, шабуыл 374 мекенжайға әсер етті. Оқиға кезінде ADA бағамы $0,146 шамасында ауытқып, шығын шамамен $2,4 миллионды құрады. Алайда бұл тек айсбергтің ұшы: SecondFi командасы төтенше шаралар қалған 129 миллион ADA-ны қорғауға мүмкіндік бергенін, олар қазір тәуелсіз білікті кастодианға сақтауға беріліп жатқанын мәлімдеді. Бұл ықтимал апаттың ауқымы әлдеқайда жоғары болғанын көрсетеді.
Шабуылдың мәліметтері: мекенжай деңгейіндегі мәселе
Тергеу барысында осалдық Cardano блокчейнінің өзінде емес, жеке кілттерді генерациялауға жауапты әмиян модулінде екені анықталды. Immunefi бас директоры Митчелл Амадордың айтуынша, SecondFi бағдарламалық жасақтамасы өзі жасаған кілттерді жай ғана ашып көрсеткен. Бұл қауіпсіздік архитектурасының іргелі ақауы.
SecondFi командасы тәуекел транзакцияға қол қою сәтінде туындайтынын растады. Сондықтан олар пайдаланушыларға Cardano негізіндегі басқа әмияндарда сид-фразаны қалпына келтіруге тырыспауға кеңес берді — бұл мәселені шешпей, тек шабуыл бетін кеңейтер еді. Барлығы ақша шығарудың төрт оқиғасы тіркелді: үшеуі зиянкестердің қолымен, төртіншісі, болжам бойынша, команданың активтерді қорғау үшін 129 миллион ADA-ны төтенше жылжытуы болған, дегенмен бұл тікелей ашылмайды.
IOG және EMURGO позициясы: кім жауапты?
Cardano негізін қалаушы Чарльз Хоскинсон оқиғадан алшақтауға асығып, SecondFi Input Output Global (IOG) өнімі емес екенін мәлімдеді. Ол IOG-ның бұл платформада үлесі де, бақылауы да, іскерлік қатынасы да жоқ екенін атап өтті. Алайда SecondFi-дің артында Cardano блокчейнінің үш негізгі құрылтайшысының бірі, технологияны коммерциялық енгізу қозғалтқышы ретінде орналасқан EMURGO тұрғанын түсіну маңызды.
Бұл оқиға Cardano экожүйесіндегі басқарудың орталықсыздандырылуы мәселесін қайта көтереді. Ресми түрде IOG және EMURGO тәуелсіз құрылымдар, бірақ қауымдастық үшін олар бірыңғай «ядроның» бөлігі. Хоскинсонның SecondFi-ді IOG-ның «Apple»-іне қатысты «Microsoft өнімі» деп атауы негізгі ойыншылар арасындағы бірліктің жоқтығын және бірыңғай қауіпсіздік стандарттарының жоқтығын ғана көрсетеді.
Менің талдауым: Бұл эксплойт — жай техникалық ақау емес, бүкіл сала үшін маңызды дабыл сигналы. Кілттерді генерациялаудағы іргелі қателік салдарынан 16 миллион ADA-ның жоғалуы — өнімнің базалық дизайн деңгейіндегі сәтсіздік. Негізін қалаушылар жауапкершілікті ауыстырып жатқанда, пайдаланушылар нақты қаражаттарынан айырылады. Бұл жағдай әмияндардың, әсіресе өз экожүйелерінде «негізгі» рөлге үміткерлердің қауіпсіздік аудиті стандарттарын қайта қарауға катализатор болуы керек.