SecondFi эксплойті: кілттерді генерациялаудағы осалдық салдарынан 16 миллион ADA жоғалды

23 маусымда SecondFi командасы Cardano блокчейніндегі өз әмиянында сыни қауіпсіздік мәселесі туралы хабарлап, платформаны дереу қауіпсіз қызмет көрсету режиміне ауыстырды. Пайдаланушылар әзірлеушілер ағып кету ауқымын бағалағанша, интерфейс арқылы операцияларды жүргізу мүмкіндігінен уақытша айырылды.
Келесі күні, 24 маусымда, SecondFi зиянкестер 374 мекенжайдан шамамен 16 миллион ADA шығарғанын растады. Оқиға кезінде ADA бағамы шамамен $0,146 болғандықтан, шығын шамамен $2,4 миллионды құрайды.
Төтенше шаралар және осалдықтың сипаты
Қаражаттың толық жоғалуын болдырмау үшін SecondFi командасы төтенше қорғау хаттамаларын іске қосты. «Қолжетімді 129 миллион ADA-ны қорғау үшін шаралар қабылданды. Бұл қаражат тәуелсіз білікті үшінші тарап кастодианына жіберіледі, онда олар зардап шеккен мекенжайлардың мүддесі үшін сақталады», — деп мәлімдеді жоба өкілдері.
Талдау көрсеткендей, оқиға барысында қаражатты шығарудың төрт оқиғасы болды. Оның үшеуін зиянкестер жасаса, төртіншісі команданың активтерді қорғау үшін аталған 129 миллион ADA-ны ауыстыруына байланысты болуы мүмкін. Айта кету керек, SecondFi бұл ауыстырудың егжей-тегжейін тікелей ашпады.
Immunefi бас директоры Митчелл Амадордың айтуынша, мәселе жобаның бағдарламалық қамтамасыз етуінде жатыр: ол өзі жасаған жеке кілттерді ашып көрсеткен. Осылайша, осалдық Cardano блокчейніне емес, кілттерді жасауға жауапты әмиян модуліне әсер етті. Сондықтан SecondFi пайдаланушыларға Cardano негізіндегі басқа әмияндарда сид-фразаны қалпына келтірмеуді ұсынды — тәуекел сақталады.
IOG ұстанымы және негізін қалаушының реакциясы
Cardano негізін қалаушы Чарльз Хоскинсон бұл оқиғадан алшақтауға асықты. Өз мәлімдемесінде ол: «Біздің SecondFi-ге ешқандай қатысымыз жоқ. Бізде үлес, бақылау, меншік немесе іскерлік қарым-қатынас жоқ. Бұл Apple-ден Microsoft өніміндегі мәселені шеше ме деп сұраумен бірдей», — деп атап өтті. Сондай-ақ ол IOG SecondFi үшін код жазбағанын және онымен байланысы жоқ екенін айтты.
Айта кету керек, SecondFi (бұрын Yoroi Wallet деп аталған) Cardano экожүйесіндегі негізгі ойыншылардың бірі EMURGO-ға тиесілі. Өз құжаттамасында EMURGO өзін технологияның коммерциялық енгізілуін ынталандыратын блокчейннің бірлескен негізін қалаушысы ретінде сипаттайды. Алайда Хоскинсон IOG EMURGO-ны бақыламайтынын және оның атынан сөйлей алмайтынын анық айтты.
Бұл оқиға DeFi секторындағы қауіпсіздік мәселелерін қайта көтереді. Менің ойымша, мұндағы басты сабақ — инфрақұрылымдық шешімдердің артында тұрған құрметті жобалардың өзі код деңгейінде өлімге әкелетін қателіктер жіберуі мүмкін. Cardano пайдаланушылары ерекше сақ болып, әсіресе кілттерді жасайтын әмияндардың сенімділігін тексеруі керек. Негізін қалаушылар қолдарын жайған кезде, активтердің сақталуына жауапкершілік бәрібір соңғы пайдаланушыға жүктеледі.