Аналіз SlowMist показує, що інцидент безпеки SecondFi може спричинити збитки на суму понад 20 мільйонів доларів.

Проект екосистеми Cardano SecondFi опинився під пильною увагою після інциденту безпеки, пов'язаного з гаманцем, який міг призвести до втрат користувачів на суму понад 20 мільйонів доларів, згідно з незалежним аналізом безпеки блокчейну. Інцидент був пов'язаний із вразливістю в рідному програмному забезпеченні для генерації веб-гаманців Cardano від SecondFi, причому проект спочатку оцінив вплив приблизно в 16 мільйонів ADA (близько 2,4 мільйона доларів на основі поточних цін на ADA). Однак засновник SlowMist Cos (Yu Xian) заявив, що аналіз руху коштів on-chain показав, що втрати теоретично можуть перевищити 20 мільйонів доларів, якщо певні адреси Cardano, пов'язані за поведінкою, будуть підтверджені як такі, що контролюються зловмисником, що потенційно може залучити понад 129 мільйонів ADA та інші токени. Розбіжність між попередньою оцінкою SecondFi та незалежними оцінками посилила занепокоєння користувачів щодо повного масштабу витоку.

SecondFi повідомляє про вразливість програмного забезпечення для генерації гаманців

SecondFi заявив, що інцидент був пов'язаний із проблемою в його рідному програмному забезпеченні для генерації веб-гаманців Cardano. Проект спочатку оцінив вплив приблизно в 16 мільйонів ADA, що означало б збитки приблизно в 2,4 мільйона доларів до врахування інших токенів на основі Cardano та NFT, які також могли бути порушені. SecondFi повідомив, що завершив аналіз on-chain для визначення масштабу витоку та співпрацює із зовнішньою фірмою з безпеки блокчейну для незалежного технічного огляду. У повідомленнях про інцидент зазначалося, що на початковому етапі могли бути порушені близько 178 гаманців.

Аналіз SlowMist вказує на потенційні збитки в 20 мільйонів доларів

Засновник SlowMist Cos (Yu Xian) сказав, що аналіз руху коштів on-chain показав, що збитки теоретично можуть перевищити 20 мільйонів доларів, якщо певні адреси Cardano, пов'язані за поведінкою, будуть підтверджені як такі, що контролюються зловмисником. Його оцінка припускала, що інцидент може включати понад 129 мільйонів ADA та інші токени, що значно перевищує попередню оцінку SecondFi. Великий розрив між початковою оцінкою SecondFi в 16 мільйонів ADA та потенційною цифрою SlowMist у понад 20 мільйонів доларів зробив інцидент однією з найбільш прискіпливо спостережуваних подій безпеки екосистеми Cardano цього року. Розбіжність також відображає складність швидкої оцінки експлойтів, пов'язаних з гаманцями, особливо коли зловмисники можуть мати доступ до матеріалів закритих ключів або слабких місць у процесі генерації гаманців.

SecondFi переводить сервіси в режим обслуговування

SecondFi перевів сервіси в режим обслуговування та призупинив постраждалі функції після виявлення проблеми. Проект ще не оприлюднив остаточний технічний аудит, повний план компенсацій або остаточний облік усіх втрачених активів. Доки ці деталі не будуть опубліковані, остаточна цифра збитків залишається невизначеною. Для користувачів найбільш нагальною проблемою є те, чи залишаються безпечними гаманці, створені за допомогою постраждалого програмного забезпечення. Якщо вразливість викрила матеріали закритих ключів або зробила генерацію гаманців передбачуваною, постраждалим користувачам може знадобитися перемістити активи, що залишилися, на новостворені гаманці, які не були згенеровані через скомпрометований процес.

Інцидент не свідчить про компрометацію блокчейну Cardano

Інцидент не свідчить про компрометацію самого блокчейну Cardano, але він порушує питання щодо інфраструктури на рівні екосистеми, зокрема гаманців, які є основним інтерфейсом між користувачами та мережею. На практиці більшість користувачів відчувають безпеку блокчейну через програмне забезпечення гаманців, управління ключами та інструменти підписання транзакцій, а не через базовий протокол. Cardano давно наголошує на формальних методах, безпеці та надійності як частині наративу своєї екосистеми.

Поширені запитання

Що спричинило інцидент безпеки SecondFi?

SecondFi заявив, що інцидент був пов'язаний із вразливістю в його рідному програмному забезпеченні для генерації веб-гаманців Cardano. Проект спочатку оцінив вплив приблизно в 16 мільйонів ADA (близько 2,4 мільйона доларів) і заявив, що співпрацює із зовнішньою фірмою з безпеки блокчейну для незалежного технічного огляду.

Скільки втратили користувачі в інциденті SecondFi?

SecondFi спочатку оцінив збитки приблизно в 16 мільйонів ADA (приблизно 2,4 мільйона доларів). Однак засновник SlowMist Cos (Yu Xian) заявив, що аналіз руху коштів on-chain показав, що збитки теоретично можуть перевищити 20 мільйонів доларів, якщо певні адреси Cardano, пов'язані за поведінкою, будуть підтверджені як такі, що контролюються зловмисником, що потенційно може включати понад 129 мільйонів ADA та інші токени.

Які дії вжив SecondFi після інциденту?

SecondFi перевів сервіси в режим обслуговування та призупинив постраждалі функції після виявлення проблеми. Проект повідомив, що завершив аналіз on-chain для визначення масштабу витоку та співпрацює із зовнішньою фірмою з безпеки блокчейну для незалежного технічного огляду. SecondFi ще не оприлюднив остаточний технічний аудит, повний план компенсацій або остаточний облік усіх втрачених активів.