SecondFi-ге шабуыл: кілттерді генерациялаудағы сыни осалдық салдарынан 16 млн ADA ұрланды

23 маусымда SecondFi командасы Cardano блокчейніндегі өз әмиянында елеулі осалдықты анықтады. Платформа дереу қауіпсіз қызмет көрсету режиміне ауыстырылды, бұл барлық пайдаланушы операцияларын уақытша бұғаттады. Әзірлеушілер оқиғаның ауқымын шұғыл бағалауға кірісті.
Келесі күні, 24 маусымда, зиянкестер 374 мекенжайдан шамамен 16 млн ADA шығара алғаны белгілі болды. Менің есептеуім бойынша, шабуыл кезіндегі ADA бағамы шамамен $0,146 болғанда, тікелей шығын шамамен $2,4 млн құрады. Алайда, тәжірибе көрсеткендей, жобаның беделі мен пайдаланушылардың сенімі үшін жанама шығындар бірнеше есе жоғары болуы мүмкін.
SecondFi командасы қаражаттың толық жоғалуын болдырмау үшін шұғыл қорғау хаттамалары іске қосылғанын мәлімдеді. Қалған 129 млн ADA тәуелсіз білікті үшінші тарап кастодианына жедел түрде ауыстырылды. Бұл қаражат зардап шеккен мекенжайлардың мүддесі үшін сақталады, алайда оларды қайтару механизмі әлі ашылған жоқ.
Оқиғаны егжей-тегжейлі талдау
Тергеу барысында осалдық мекенжай деңгейінде екені анықталды. Тәуекел транзакцияға қол қою сәтінде пайда болады. Бұл қаражатты басқа әмиянға немесе платформаға жай ғана ауыстыру қауіпті жоймайтынын білдіреді. Дәл осы себептен SecondFi пайдаланушыларға Cardano негізіндегі кез келген басқа әмиянда сид-фразаны қалпына келтірмеуді қатты ұсынды.
Команданың мәліметі бойынша, қаражатты шығарудың төрт оқиғасы тіркелді. Оның үшеуі — зиянкестердің әрекеті. Төртіншісі, болжам бойынша, активтерді шұғыл қорғау үшін команданың өзі бастаған. Бұған тікелей дәлел жоқ, бірақ шұғыл әрекет ету логикасы мұны жібереді.
Immunefi бас директоры Митчелл Амадор түбегейлі себепті көрсетті: SecondFi бағдарламалық жасақтамасы өзі жасаған жеке кілттерді ашып қойған. Мәселе Cardano блокчейнінде емес, кілттерді жасауға жауапты әмиян модулінде. Бұл хаттама емес, қолданба деңгейіндегі қатенің классикалық мысалы.
Экожүйенің негізгі ойыншыларының ұстанымы
Cardano негізін қалаушы Чарльз Хоскинсон оқиғадан алшақтауға асықты. Ол SecondFi Input Output Global (IOG) өнімі емес екенін және компанияның бұл жобамен ешқандай іскерлік қатынасы жоқ екенін атап өтті. Хоскинсон жағдайды Microsoft өніміндегі мәселе бойынша Apple-ге жүгінумен салыстырды.
Алайда, SecondFi (бұрын Yoroi Wallet ретінде белгілі) артында Cardano блокчейнінің үш негізін қалаушысының бірі EMURGO тұрғанын атап өту маңызды. EMURGO өз құжаттамасында технологияны коммерциялық енгізуді ынталандыратын компания ретінде көрсетеді. Бұл факт екіұшты жағдай туғызады: ресми түрде IOG жауапты емес, бірақ экожүйенің стратегиялық серіктесі сыни қателік жіберді.
Менің талдауым: Бұл оқиға — DeFi және криптовалюталардағы қауіпсіздік тек хаттаманың сенімділігі ғана емес, сонымен қатар қолданбалы бағдарламалық жасақтама кодының сапасы екенін тағы бір еске салу. Генератордағы қатеге байланысты жеке кілттердің ағып кетуі — бүкіл сегментке деген сенімді әлсірететін өлімге әкелетін кемшілік. Cardano экожүйесі L1 деңгейінде тұрақтылықты көрсетіп жатқанымен, қолданба деңгейіндегі мұндай оқиғалар оның жаппай қабылдануын едәуір баяулатуы мүмкін. Нарық әзірлеушілерден тек функционалдылықты ғана емес, стектің барлық деңгейлерінде ымырасыз қауіпсіздікті талап етіп келеді.