SecondFi-дің Cardano-дағы бұзылуы: Кілттерді генерациялаудағы осалдық салдарынан 16 миллион ADA ағып кетті
23 маусымда SecondFi командасы қауіпсіздіктің маңызды мәселесі анықталғаннан кейін Cardano блокчейніндегі платформасын қауіпсіз қызмет көрсету режиміне ауыстыруға мәжбүр болды. Пайдаланушылар әзірлеушілер ақпараттың таралу ауқымын бағалағанша, интерфейс арқылы транзакциялар жүргізу мүмкіндігінен уақытша айырылды.
Келесі күні, 24 маусымда, зиянкестер 374 мекенжайдан шамамен 16 миллион ADA шығарып үлгергені белгілі болды. Менің бағалауым бойынша, сол кездегі ADA бағамына (~$0,146) сүйенсек, шығын шамамен $2,4 миллионды құрады. Бұл өзін сенімді әмиян ретінде танытқан жобаға деген сенімге ауыр соққы.
Шұғыл шаралар және мәселенің ауқымы
Қаражаттың толық жоғалуын болдырмау үшін SecondFi командасы шұғыл қорғау хаттамаларын іске қосты. Олар қалған 129 миллион ADA-ны тәуелсіз білікті кастодианға бұғаттап, қайта бағыттай алды. Әзірлеушілердің мәлімдеуінше, бұл қаражат зардап шеккен мекенжайлардың мүддесі үшін сақталатын болады.
Тергеу қаражатты шығарудың төрт оқиғасы болғанын көрсетті. Оның үшеуі — зиянкестердің жұмысы, ал төртіншісі, ең алдымен, қорғалған активтерді жылжыту үшін команданың өзі бастаған болуы мүмкін. SecondFi бұл фактіні тікелей растамады, бірақ логика дәл осы оқиғалардың дамуын болжайды.
Осалдықтың түбірі: жеке кілттер қауіп астында
Мен бұл оқиғадан жасайтын негізгі қорытынды: осалдық жеке кілттерді генерациялау деңгейінде жатыр. Immunefi бас директоры Митчелл Амадор атап өткендей, SecondFi бағдарламалық жасақтамасы өзі генерациялаған кілттерді ашып көрсеткен. Бұл қауіпсіздік архитектурасындағы түбегейлі қателік.
Атап өту маңызды: мәселе тұтастай Cardano блокчейніне әсер етпейді. Ол тек SecondFi әмиян модулінде, кілттерді жасауға жауапты бөлігінде локализацияланған. Дәл осы себепті команда пайдаланушыларға өздерінің сид-фразасын Cardano негізіндегі басқа әмияндарда қалпына келтірмеуге кеңес берді — бұзылу қаупі сақталады.
IOG және EMURGO ұстанымы: алыстау және жауапкершілік
Cardano негізін қалаушы Чарльз Хоскинсон өзінің Input Output Global (IOG) компаниясын оқиғадан алыстатуға асықты. Ол SecondFi IOG өнімі емес екенін және олардың жобамен ешқандай іскерлік қатынасы немесе бақылауы жоқ екенін мәлімдеді. «Біз бұл кодты жазған жоқпыз және оған қатысымыз жоқ», — деп атап өтті Хоскинсон.
Дегенмен, контексті түсіну маңызды. SecondFi (бұрын Yoroi Wallet ретінде белгілі) компаниясының артында IOG және Cardano Foundation-мен қатар Cardano-ның үш негізгі құрылтайшысының бірі EMURGO тұр. EMURGO өзін блокчейннің коммерциялық енгізілуін ынталандыратын тең құрылтайшысы ретінде сипаттайды. Осылайша, IOG формальды түрде жауапкершілік көтермесе де, оқиға бүкіл экожүйеге көлеңке түсіреді, әсіресе «ұйықтап жатқан» әмиян өтімсіз пулда кездейсоқ $6,05 миллион жоғалтқан соңғы оқиғалар аясында.
Менің талдауым: Бұл бұзушылық — жай техникалық сәтсіздік емес, тәуекелдерді басқарудағы жүйелік ақау. Cardano үшін негізгі әмиян рөліне үміткер жоба генерациялау деңгейінде жеке кілттердің ағып кетуіне жол бермеуі керек. Пайдаланушылар кез келген кастодиалды емес шешімдерді, әсіресе жас командалармен байланысты болса, пайдалану кезінде өз тәуекелдерін қайта қарауы тиіс.