SecondFi-дің Cardano-дағы эксплойті: 16 млн ADA ұрланды, экожүйе шиеленісте
23 маусымда SecondFi командасы Cardano блокчейніндегі өз әмиянында сыни осалдық анықталғанын хабарлап, платформаны дереу қауіпсіз қызмет көрсету режиміне ауыстырды. Пайдаланушылар әзірлеушілер оқиғаның ауқымын бағалап жатқан кезде интерфейс арқылы транзакцияларды жүргізу мүмкіндігінен уақытша айырылды. Келесі күні, 24 маусымда, 374 мекенжайдан шамамен 16 млн ADA ұрланғаны белгілі болды. Менің бағалауым бойынша, шабуыл кезіндегі ADA бағамы шамамен $0,146 болғандықтан, шығын $2,4 млн құрайды.
Шұғыл шаралар және негізгі себеп
Активтердің толық жоғалуын болдырмау үшін SecondFi командасы шұғыл қорғау хаттамаларын іске қосты. Зардап шеккен мекенжайлардың мүддесі үшін тәуелсіз білікті үшінші тарап кастодианына бағытталатын шамамен 129 млн ADA сақталғаны хабарланды. Тергеу барысында осалдық мекенжай деңгейінде екені және транзакцияларға қол қою процесіне қатысты екені анықталды. Бұл Cardano негізіндегі басқа әмиянда сид-фразаны қарапайым қалпына келтіру тәуекелді жоймайды дегенді білдіреді — зиянкестер жеке кілттердің генерациясын бұза алған болуы мүмкін. SecondFi зардап шекпеген әмияндарға арналған түзетуді шығарып, барлық пайдаланушыларға үшінші тарап қосымшалары арқылы қолжетімділікті қалпына келтіруден бас тартуды ұсынды.
Экожүйенің реакциясы және IOG ұстанымы
Бұл оқиға Cardano-ның негізгі ойыншыларынан мәлімдемелер толқынын тудырды. Immunefi бас директоры Митчелл Амадор мәселе тек SecondFi бағдарламалық қамтамасыз етуінде екенін, Cardano блокчейнінде емес екенін атап өтті. Cardano негізін қалаушы Чарльз Хоскинсон Input Output Global (IOG) компаниясын оқиғадан алыстатуға асығып, компанияның SecondFi-ге ешқандай қатысы жоқ екенін — үлесі де, бақылауы да, іскерлік байланысы да жоқ екенін атап көрсетті. Айта кету керек, SecondFi (бұрын Yoroi Wallet ретінде белгілі) Cardano экожүйесінің негізін қалаушылардың бірі EMURGO компаниясына тиесілі. Бұл қызықты прецедент жасайды: ресми түрде IOG және EMURGO — тәуелсіз құрылымдар, бірақ қауымдастық үшін олар бір экожүйенің тіректері болып табылады.
Талдау және қорытындылар
Бұл жағдай — кезекті эксплойт қана емес, өзін-өзі сақтайтын әмияндардың бүкіл индустриясы үшін маңызды сигнал. Кілттерді генерациялау деңгейіндегі бұзу «сіздің кілттеріңіз емес — сіздің монеталарыңыз емес» тұжырымдамасының өзін әлсіретеді. SecondFi қаражатты қайтарумен айналысып жатқанда, Cardano экожүйесі беріктікке сыналу сәтін бастан кешіруде. Еске сала кетейін, бұрын ончейн-детектив ZachXBT Cardano жұмыс істеу моделін «инсайдерлерді байыту схемасы» деп сынға алған болатын. Бұл оқиға қауіпсіздік пен орталықсыздандыру туралы пікірталастарға от жағады. Менің кәсіби кеңесім: әмияндардың, әсіресе кілттерді жай сақтамай, генерациялайтындардың шығу тегі мен кодының аудитін әрқашан тексеріңіз. Нарық немқұрайлылықты кешірмейді.