SecondFi-дің Cardano-дағы эксплойті: жеке кілттер ағып кетті, 16 млн ADA ұрланды
23 маусымда бұрын Yoroi Wallet деген атпен белгілі SecondFi командасы Cardano блокчейніндегі өз әмиянында сыни осалдықтың бар екенін хабарлады. Платформа дереу қауіпсіз қызмет көрсету режиміне ауыстырылды, ал пайдаланушылардың интерфейс арқылы операцияларға қол жеткізуі уақытша бұғатталды. Әзірлеушілер оқиға бойынша ауқымды тергеу бастады.
Шабуылдың ауқымы және шұғыл шаралар
Келесі күні, 24 маусымда, SecondFi зиянкестердің 374 мекенжайдан шамамен 16 млн ADA шығара алғанын растады. Менің бағалауым бойынша, оқиға кезіндегі ADA бағамы шамамен $0,146 болғандықтан, тікелей шығын шамамен $2,4 млн құрады. Алайда, талдау көрсеткендей, бұл тек айсбергтің көрінетін бөлігі ғана.
SecondFi командасы қаражаттың толық жоғалуын болдырмау үшін шұғыл қорғау хаттамалары іске қосылғанын мәлімдеді. Нәтижесінде 129 млн ADA сақталып қалды, ол қазір тәуелсіз білікті үшінші тарап кастодианына жіберілуде. Бұл қаражат зардап шеккен мекенжайлардың мүддесіне сақталады. Айта кету керек, барлығы төрт ақша шығару оқиғасы тіркелді: оның үшеуін хакерлер жасады, ал төртіншісі, болжам бойынша, команданың қорғалған активтерді жылжыту бастамасы болды.
Мәселенің түп-тамыры: кілттерді генерациялау
Immunefi бас директоры Митчелл Амадор тергеу барысында маңызды мәліметті атап өтті: SecondFi бағдарламалық қамтамасыз етуі өзі генерациялаған жеке кілттерді ашып қойды. Бұл әмиян архитектурасы деңгейіндегі іргелі осалдық, Cardano блокчейнінің өзіне емес. Дәл осы себептен SecondFi пайдаланушыларға Cardano негізіндегі басқа әмияндарда сид-фразаны қалпына келтіруге тырыспауды қатты ұсынды — бұзылу қаупі сақталады.
Бұл оқиға — блокчейннің жалпы қауіпсіздігіне қарамастан, кілттерді генерациялау модуліндегі қателік апатты салдарға әкелуі мүмкін екендігінің айқын мысалы. Пайдаланушылар өздерінің seed-фразасының қауіпсіздігіне кім жауапты екенін қайта тексеруі керек.
Экожүйенің реакциясы және IOG позициясы
Cardano негізін қалаушы Чарльз Хоскинсон Input Output Global (IOG) компаниясын оқиғадан алыстатуға асықты. Ол SecondFi IOG өнімі емес екенін және компанияның бұл жобада үлесі де, бақылауы да, іскерлік қатынасы да жоқ екенін атап өтті. «Біз бұл кодты жазған жоқпыз және оған қатысымыз жоқ», — деді Хоскинсон, жағдайды Apple-ден Microsoft өнімінің мәселесін шешуді сұраумен салыстырып.
Алайда, SecondFi-дің артында Cardano блокчейнінің үш негізгі құрылтайшысының бірі — EMURGO тұрғанын атап өткен жөн. EMURGO өз құжаттамасында технологияны коммерциялық енгізуді ынталандырушы ретінде сипаттайды. Бұл мүдделер қақтығысы және еншілес өнімнің проблемаларынан алыстау әрекеті экожүйедегі басқарудың орталықсыздандырылуы туралы күрделі сұрақтар туғызады.
Менің талдауым: Бұл эксплойт — жай техникалық сәтсіздік емес, Cardano-ның озық қауіпсіздігі бар экожүйе ретіндегі беделіне ауыр соққы. Құрылтайшылардың бірінің өнімінде кілттерді генерациялау деңгейінде осалдықтың пайда болуы EMURGO-мен байланысты жобалардағы аудит және сапа бақылау үлгілерін күмәнға қалдырады. IOG бас тартқан кезде, қауымдастық салдармен өз бетінше күресуге мәжбүр болады, ал Cardano-ның «ғылыми» тәсіліне деген сенім тағы бір сызат алады.