EMURGO SecondFi бұзылуынан зардап шеккендерге қаражат қайтару процесін бастайды: мерзімдері мен мәліметтері
EMURGO, Cardano экожүйесінің негізін қалаушы негізгі ұйымдардың бірі, ауқымды эксплойттан зардап шеккен SecondFi әмиян пайдаланушыларына қаражатты қайтару рәсімін бастайтынын хабарлады. Компанияның бас директоры Филлип Пон өтемақы тетігі әзірленгенін, ал алғашқы төлемдер шамамен екі аптадан кейін басталатынын растады. On-chain талдауы бойынша, оқиға 374 мекенжайға әсер етіп, олардан шамамен 16 миллион ADA шығарылған.
Алдағы аптада команда қайтару тетігін техникалық іске асыруды жоспарлап, одан кейін бір апта бойы мұқият тестілеу жүргізіледі. SecondFi пайдаланушыларына ресми нұсқаулықтар алғанға дейін активтермен ешқандай операция жасамауға кеңес беріледі. Қызмет ешқашан жеке кілттерді, сид-фразаларды немесе әмияндарға қолжетімділікті сұрамайтыны ерекше атап өтіледі — мұндай хабарламалардың бәрі алаяқтық болып табылады.
Шабуыл хронологиясы және залал көлемі
SecondFi командасының мәліметінше, 21-23 маусым аралығында қаражатты рұқсатсыз шығарудың төрт оқиғасы болған. Үш жағдайда сыртқы зиянкестер 374 мекенжайдан шамамен 16 миллион ADA (шабуыл кезінде шамамен $2,4 миллион) шығарған. Төртінші эпизодта команда активтерді одан әрі қол сұғушылықтан оқшаулау үшін шамамен 129 миллион ADA-ны тәуелсіз кастодианға шұғыл аударған. Бұл қаражаттың сақталуын тексеруді сыртқы аудиторлық фирма жүзеге асырады.
SecondFi сонымен қатар шабуылдаушылардың екі әмиянын анықтады: бірі 171 бұзылған мекенжаймен, екіншісі 203-пен байланысты. Ұрлыққа қатысты шамамен 4 миллион ADA белгіленген жинақ мекенжайында орналасқан және бақылауда қалып отыр. Құқық қорғау органдарына оқиға туралы хабарланған.
Техникалық мәліметтер: Tibane Labs нұсқасы
Tibane Labs компаниясы жеке тәуелсіз тергеу жүргізді. Олардың есебіне сәйкес, мәселенің түбірі nonce-ті қайта пайдалануда емес, Ed25519 қолтаңба қатесіне байланысты осалдықта жатыр. Tibane Labs 8 маусымда тәуелсіз әзірлеуші npm тізілімінде жариялаған аудиттелмеген trantor SDK бұрын қолданылған EMURGO-ның тексерілген қолтаңба модулін ауыстырғанын мәлімдейді. Сарапшылардың бағалауы бойынша, жеке кілтті қалпына келтіру үшін бір ғана қол қойылған транзакция жеткілікті болған.
Айта кету керек, EMURGO әлі күнге дейін оқиғаның толық техникалық постмортемін жарияламаған және Tibane Labs қорытындыларына жария түрде жауап бермеген. SecondFi әмияны (сәуірге дейін Yoroi ретінде белгілі) ұзақ уақыт бойы Cardano экожүйесіндегі негізгі құралдардың бірі болып қалды, бұл оқиғаны қауымдастық үшін ерекше ауыр етеді.
Менің кәсіби пікірім: SecondFi айналасындағы жағдай — тіпті көп жылдық тарихы бар құрметті жобалардың да күтпеген шабуыл векторларына осал болуы мүмкін екендігінің айқын мысалы. Жария постмортемнің болмауы және Tibane Labs-тің егжей-тегжейлі есебіне жауап бермеуі сұрақтар туғызады. Cardano пайдаланушылары тәуелсіз сарапшылардың қорытындыларына мұқият қарап, болашақта, әсіресе үшінші тарап әзірлеушілерінен алынған SDK-лардың аудитіне басым назар аударуы керек. Мұндай оқиғадан кейін сенімді қалпына келтіру EMURGO-дан тек қаржылық өтемақы ғана емес, сонымен қатар барынша ашықтықты талап етеді.