Κάποιος μόλις άδειασε από καιρό ξεχασμένα ανενεργά πορτοφόλια Ethereum, και η αιτία μπορεί να ανάγεται χρόνια πίσω
Εκατοντάδες πορτοφόλια Ethereum που παρέμεναν αναλλοίωτα για χρόνια αδειάστηκαν στην ίδια επισημασμένη διεύθυνση, μετατρέποντας την παλαιά έκθεση κλειδιών στην πιο οξεία προειδοποίηση ασφάλειας κρυπτονομισμάτων αυτής της εβδομάδας.
Στις 30 Απρ., ο WazzCrypto επισήμανε το περιστατικό που αφορά πορτοφόλια στο mainnet στο X, και η προειδοποίησή του διαδόθηκε γρήγορα επειδή οι επηρεαζόμενοι λογαριασμοί δεν φαίνονταν να είναι πρόσφατα παγιδευμένα hot wallets. Ήταν παλιά πορτοφόλια με ήσυχο ιστορικό, μερικά συνδεδεμένα με περιουσιακά στοιχεία και εργαλεία μιας παλαιότερης εποχής Ethereum.
Πάνω από 260 ETH, περίπου 600.000 δολάρια, αδειάστηκαν από εκατοντάδες αδρανή πορτοφόλια. Πάνω από 500 πορτοφόλια φαίνεται να επηρεάζονται, με συνολικές απώλειες περίπου 800.000 δολαρίων, και πολλά πορτοφόλια ήταν αδρανή για τέσσερα έως οκτώ χρόνια. Η σχετική διεύθυνση Etherscan φέρει την ετικέτα Fake_Phishing2831105, εμφανίζει 596 συναλλαγές και καταγράφει μια κίνηση 324,741 ETH προς το THORChain Router v4.1.1 γύρω από το χρονικό παράθυρο της 30ής Απρ.
Το κοινό στοιχείο μεταξύ τους είναι πιο σημαντικό προς το παρόν: πορτοφόλια μακράς αδράνειας έχουν μεταφερθεί σε έναν κοινό προορισμό, ενώ η διαδρομή της παραβίασης παραμένει αδιευκρίνιστη.
Αυτό το αδιευκρίνιστο φορέας κάνει το αδείασμα την ισχυρότερη προειδοποίηση αυτής της εβδομάδας, μετά από έξαρση επιθέσεων DeFi. Τα exploits πρωτοκόλλων συνήθως παρέχουν στους ερευνητές ένα συμβόλαιο, μια κλήση συνάρτησης ή μια προνομιακή συναλλαγή για επιθεώρηση.
Εδώ, το κεντρικό ερώτημα βρίσκεται στο επίπεδο του πορτοφολιού. Κάποιος απέκτησε παλιές φράσεις seed, έσπασε αδύναμα παραγόμενα κλειδιά, χρησιμοποίησε διαρρεύσαν υλικό ιδιωτικού κλειδιού, κατάχρησε ένα εργαλείο που χειριζόταν κάποτε κλειδιά, ή εκμεταλλεύτηκε άλλη διαδρομή που δεν έχει ακόμη εμφανιστεί;
Η δημόσια συζήτηση έχει παράγει θεωρίες που περιλαμβάνουν αδύναμη εντροπία σε παλαιά εργαλεία πορτοφολιών, παραβιασμένα mnemonics, διαχείριση κλειδιών από trading bots και αποθήκευση seed της εποχής LastPass. Ένας επηρεαζόμενος χρήστης ανέφερε προσωπικά τη θεωρία LastPass.
Οι πρακτικές συμβουλές για τους χρήστες είναι περιορισμένες αλλά επείγουσες. Η αδράνεια δεν μειώνει τον κίνδυνο ιδιωτικού κλειδιού. Ένα πορτοφόλι με αξία εξαρτάται από το πλήρες ιστορικό του κλειδιού, της φράσης seed, της συσκευής που το δημιούργησε, του λογισμικού που το άγγιξε και κάθε τόπου όπου αυτό το μυστικό μπορεί να έχει αποθηκευτεί.
Για τους χρήστες, η αντίδραση είναι πιθανώς να καταγράψουν παλιά πορτοφόλια υψηλής αξίας, να μεταφέρουν κεφάλαια μόνο αφού δημιουργήσουν νέο υλικό κλειδιών μέσω αξιόπιστου hardware ή σύγχρονου λογισμικού πορτοφολιού, και να αποφύγουν την εισαγωγή παλαιών seed σε checkers, scripts ή άγνωστα εργαλεία ανάκτησης. Η ανάκληση εγκρίσεων βοηθά για την έκθεση σε πρωτόκολλα, συμπεριλαμβανομένης της προειδοποίησης χρηστών της Wasabi, αλλά ένα άμεσο αδείασμα πορτοφολιού υποδεικνύει κατά πρώτον ασφάλεια κλειδιών και όχι εγκρίσεις token.
Ο Απρίλιος διεύρυνε την επιφάνεια ελέγχου
Το cluster πορτοφολιών εμφανίστηκε εν μέσω του απολογισμού exploits κρυπτονομισμάτων του Απριλίου, που ήταν ήδη ανυψωμένος. Αναφορές συνδεδεμένες με το DefiLlama έθεσαν τον Απρίλιο σε περίπου 28 έως 30 περιστατικά και πάνω από 625 εκατομμύρια δολάρια σε κλεμμένα κεφάλαια. Από την 1η Μαΐου, το live DefiLlama API έδειξε 28 περιστατικά Απριλίου με συνολικό ύψος 635.241.950 δολαρίων.
Ένα thread αγοράς της 1ης Μαΐου συνέλαβε το σημείο πίεσης: τα αδειάσματα πορτοφολιών αυτής της εβδομάδας, το exploit του admin-key του Wasabi Protocol και οι μεγαλύτερες ζημίες DeFi του Απριλίου χτύπησαν επιφάνειες ελέγχου που σπάνια επιθεωρούν οι συνηθισμένοι χρήστες. Ο σύνδεσμος κατά τον μήνα είναι αρχιτεκτονικός και όχι αποδοτικός.
Οι διαδρομές διαχειριστή έγιναν διαδρομές επίθεσης
Το Wasabi Protocol παρέχει το σαφέστερο πρόσφατο παράδειγμα πρωτοκόλλου. Το exploit της 30ής Απρ. φέρεται να άδειασε περίπου 4,5 έως 5,5 εκατομμύρια δολάρια αφού ένας εισβολέας απέκτησε εξουσία deployer/admin, παραχώρησε ADMIN_ROLE σε συμβόλαια υπό τον έλεγχο του εισβολέα και χρησιμοποίησε αναβαθμίσεις UUPS proxy για να αδειάσει vaults και pools σε Ethereum, Base και Blast. Πρώιμες ειδοποιήσεις ασφάλειας επισήμαναν το μοτίβο admin-upgrade καθώς η επίθεση εκτυλισσόταν.
Η αναφερόμενη μηχανική θέτει τη διαχείριση κλειδιών στο κέντρο του περιστατικού. Η δυνατότητα αναβάθμισης μπορεί να είναι κανονική υποδομή συντήρησης. Η συγκεντρωμένη εξουσία αναβάθμισης μετατρέπει αυτή τη διαδρομή συντήρησης σε στόχο υψηλής αξίας. Εάν ένας deployer ή προνομιακός λογαριασμός μπορεί να αλλάξει τη λογική υλοποίησης σε όλες τις αλυσίδες, το όριο γύρω από ένα ελεγμένο συμβόλαιο μπορεί να εξαφανιστεί μόλις παραβιαστεί αυτή η εξουσία.
Αυτό είναι το πρόβλημα που αντιμετωπίζουν οι χρήστες και κρύβεται μέσα σε πολλές διεπαφές DeFi. Ένα πρωτόκολλο μπορεί να παρουσιάζει ανοιχτά συμβόλαια, δημόσια front ends και γλώσσα αποκέντρωσης, ενώ η κρίσιμη εξουσία αναβάθμισης εξακολουθεί να βρίσκεται σε ένα μικρό σύνολο λειτουργικών κλειδιών.
Οι υπογράφοντες και οι επαληθευτές φέρουν τις μεγαλύτερες απώλειες
Το Drift ώθησε το ίδιο πρόβλημα ελέγχου στη ροή εργασίας υπογραφόντων. Το Chainalysis περιέγραψε κοινωνική μηχανική, durable nonce συναλλαγές, ψεύτικα εξασφαλίσματα, χειραγώγηση oracle και μια μετεγκατάσταση Security Council 2-of-5 χωρίς timelock. Το Blockaid εκτίμησε την απώλεια στα περίπου 285 εκατομμύρια δολάρια και υποστήριξε ότι η προσομοίωση συναλλαγών και αυστηρότερες πολιτικές συν-υπογραφής θα μπορούσαν να είχαν αλλάξει την έκβαση.
Η υπόθεση Drift έχει σημασία εδώ επειδή η διαδρομή δεν εξαρτιόταν από ένα απλό σφάλμα δημόσιας συνάρτησης. Εξαρτιόταν από μια ροή εργασίας όπου έγκυρες υπογραφές και γρήγοροι μηχανισμοί διακυβέρνησης μπορούσαν να στραφούν προς μια εχθρική μετεγκατάσταση. Μια διαδικασία υπογραφόντος έγινε η επιφάνεια ελέγχου.
Το KelpDAO μετέφερε τη δοκιμή αντοχής στην επαλήθευση cross-chain. Η δήλωση περιστατικού περιέγραψε μια διαμόρφωση bridge στην οποία η διαδρομή rsETH χρησιμοποιούσε το LayerZero Labs ως τον μοναδικό επαληθευτή DVN. Οι εγκληματολογικές αναθεωρήσεις περιέγραψαν παραβιασμένους κόμβους RPC και πίεση DDoS που τροφοδοτούσε ψευδή δεδομένα σε μια μονοσήμαντη διαδρομή επαλήθευσης.
Το αποτέλεσμα, σύμφωνα με το Chainalysis, ήταν 116.500 rsETH, αξίας περίπου 292 εκατομμυρίων δολαρίων, που απελευθερώθηκαν έναντι μιας ανύπαρκτης καύσης. Το συμβόλαιο token μπορούσε να παραμείνει ανέπαφο ενώ το bridge αποδεχόταν μια ψευδή υπόθεση. Αυτός είναι ο λόγος για τον οποίο μια αποτυχία επαληθευτή μπορεί να γίνει πρόβλημα δομής αγοράς μόλις το γεφυρωμένο περιουσιακό στοιχείο βρίσκεται μέσα σε αγορές δανεισμού και ομάδες ρευστότητας.
Η ΑΙ ανήκει στη συζήτηση για την ταχύτητα
Νομίζω ότι το Project Glasswing αξίζει ιδιαίτερης μνείας εδώ για πλαίσιο, χωριστά από την αιτιολογία. Η Anthropic λέει ότι το Claude Mythos Preview βρήκε χιλιάδες ευπάθειες λογισμικού υψηλής σοβαρότητας και δείχνει πώς η ΑΙ μπορεί να συμπιέσει την ανακάλυψη ευπαθειών. Αυτό ανεβάζει τον πήχη για τους αμυνόμενους, αλλά το αιτιολογικό αρχείο σε αυτά τα περιστατικά κρυπτονομισμάτων δείχνει σε κλειδιά, υπογράφοντες, εξουσίες διαχειριστή, επαλήθευση bridge, εξαρτήσεις RPC και αδιευκρίνιστη έκθεση πορτοφολιών.
Οι επιπτώσεις στην ασφάλεια εξακολουθούν να είναι σοβαρές. Η ταχύτερη ανακάλυψη δίνει στους επιτιθέμενους και τους αμυνόμενους περισσότερη παράλληλη επιφάνεια για να εργαστούν. Κάνει επίσης τις παλιές λειτουργικές συντομεύσεις πιο ακριβές επειδή αδρανή μυστικά, προνομιακά κλειδιά και μονοσήμαντες διαδρομές επαλήθευσης μπορούν να δοκιμαστούν ταχύτερα από ό,τι οι ομάδες μπορούν να τα ελέγξουν χειροκίνητα.
Η λίστα επιδιόρθωσης είναι λειτουργική
Τα μέτρα ελέγχου που προκύπτουν από τον Απρίλιο βρίσκονται πάνω και γύρω από τη βάση κώδικα.
| Περιστατικό | Κρυφό σημείο ελέγχου | Τρόπος αποτυχίας | Πρακτικός έλεγχος |
|---|---|---|---|
| Αδρανή πορτοφόλια Ethereum | Παλαιό υλικό πορτοφολιού | Κεφάλαια μεταφέρθηκαν από πορτοφόλια μακράς αδράνειας σε μια επισημασμένη διεύθυνση ενώ ο φορέας παραμένει αδιευκρίνιστος | Δημιουργία νέων κλειδιών για πολύτιμα αδρανή κεφάλαια, προσεκτική μετεγκατάσταση και μη εισαγωγή seed σε άγνωστα εργαλεία |
| Wasabi | Εξουσία διαχειριστή και αναβάθμισης | Παραχωρήσεις προνομιακού ρόλου και αναβαθμίσεις UUPS επέτρεψαν αδειάσματα vault και pool | Εναλλαγή κλειδιών, ισχυρότερα κατώφλια, περιορισμένες εξουσίες διαχειριστή, timelocks και ανεξάρτητη παρακολούθηση ενεργειών αναβάθμισης |
| Drift | Ροή εργασίας υπογραφόντων Security Council | Προϋπογεγραμμένες durable nonce συναλλαγές και διακυβέρνηση χωρίς καθυστέρηση επέτρεψαν γρήγορη κατάληψη διαχειριστή | Υψηλότερα κατώφλια, παράθυρα καθυστέρησης, προσομοίωση συναλλαγών και συν-υπογραφή εφαρμοζόμενη από πολιτική |
| KelpDAO | Διαδρομή επαλήθευσης bridge | Δηλητηρίαση RPC και μια διαδρομή DVN 1-of-1 επέτρεψαν σε ένα ψευδές cross-chain μήνυμα να περάσει | Επαλήθευση Multi-DVN, παρακολούθηση αμετάβλητων cross-chain και ανεξάρτητοι έλεγχοι εκτός της ίδιας διαδρομής επαλήθευσης |
Για τα πρωτόκολλα, η προτεραιότητα είναι η μείωση του ποσού που μπορεί να κάνει οποιαδήποτε μοναδική εξουσία ταυτόχρονα. Αυτό σημαίνει time locks σε λειτουργίες διαχειριστή, ισχυρότερα και πιο σταθερά κατώφλια υπογραφόντων, παρακολουθούμενες ουρές προνομιακών συναλλαγών, ρητά όρια σε αλλαγές παραμέτρων και συστήματα συν-υπογραφής που προσομοιώνουν τα αποτελέσματα συναλλαγών πριν τα εγκρίνουν οι άνθρωποι.
Για τα bridges, η προτεραιότητα είναι η ανεξάρτητη επαλήθευση και οι έλεγχοι αμετάβλητων. Ένα cross-chain μήνυμα πρέπει να δοκιμαστεί έναντι του οικονομικού γεγονότος που ισχυρίζεται ότι αντιπροσωπεύει. Εάν το rsETH φεύγει από τη μία πλευρά, το σύστημα πρέπει να επαληθεύσει την αντίστοιχη αλλαγή κατάστασης στην άλλη πλευρά πριν η πλευρά προορισμού απελευθερώσει αξία. Αυτή η παρακολούθηση πρέπει να υπάρχει εκτός της ίδιας διαδρομής που υπογράφει το μήνυμα.
Για τους χρήστες, η λίστα επιδιόρθωσης είναι μικρότερη. Μεταφέρετε πολύτιμα παλιά κεφάλαια σε νέα κλειδιά μέσω μιας διαδικασίας που ήδη εμπιστεύεστε. Διαχωρίστε αυτή την ενέργεια από τον καθαρισμό εγκρίσεων ειδικών πρωτοκόλλων. Αντιμετωπίστε κάθε ισχυρισμό σχετικά με τη βαθύτερη αιτία του αδειάσματος πορτοφολιού ως προσωρινό μέχρι οι εγκληματολογικές εργασίες να αναγνωρίσουν ένα κοινό εργαλείο, διαδρομή αποθήκευσης ή πηγή έκθεσης.
Η επόμενη δοκιμή
Ο Απρίλιος απέδειξε ότι η λίστα ελέγχου ασφάλειας του μέσου χρήστη είναι πιθανώς ελλιπής. Οι έλεγχοι, τα δημόσια συμβόλαια και οι αποκεντρωμένες διεπαφές μπορούν να συνυπάρχουν με συγκεντρωμένη εξουσία διαχειριστή, αδύναμες διαδικασίες υπογραφόντων, εύθραυστη επαλήθευση bridge και παλιά μυστικά πορτοφολιών.
Το επόμενο τρίμηνο θα ανταμείψει την απόδειξη έναντι της γλώσσας αποκέντρωσης: περιορισμένες εξουσίες αναβάθμισης, ορατά timelocks, ανεξάρτητες διαδρομές επαλήθευσης, προσομοίωση συναλλαγών για προνομιακές ενέργειες, πειθαρχημένοι έλεγχοι πρόσβασης και τεκμηριωμένη εναλλαγή κλειδιών.
Τα αδειάσματα αδρανών πορτοφολιών δείχνουν την ενοχλητική έκδοση από πλευράς χρήστη του ίδιου προβλήματος. Ένα σύστημα μπορεί να φαίνεται ήσυχο ενώ μια παλιά αποτυχία ελέγχου περιμένει στο παρασκήνιο. Το κύμα exploit του Απριλίου αποκάλυψε αυτό το επίπεδο πάνω από τον κώδικα· η επόμενη φάση θα δείξει ποιες ομάδες το αντιμετωπίζουν ως βασική ασφάλεια πριν μετακινηθούν τα κεφάλαια.
The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.
Μπορεί επίσης να σας αρέσει
Πρόβλεψη για την Επερχόμενη Εβδομάδα: Μη Αγροτικές Μισθοδοσίες και Ειρηνευτικές Συνομιλίες ΗΠΑ-Ιράν Ταρακουνούν τον DXY καθώς Αγγίζει Χαμηλά Δύο Εβδομάδων
Η μετοχή της Spirit Airlines (FLYYQ) καταρρέει 65% καθώς η αποτυχία διάσωσης πυροδοτεί πιθανό κλείσιμο
