Безпека Paradex перевірена, оскільки експлойт Mithril Trading Bot розкрив 57 підключів користувачів

Нещодавні події на Paradex викликали нові питання щодо безпеки paradex, сторонніх інструментів автоматизації та того, наскільки швидко біржі реагують на порушення систем.

Paradex підтверджує порушення Mithril Trading Bot

Платформа деривативів Paradex підтвердила інцидент безпеки, пов'язаний з Mithril Trading Bot, після того як зловмисник отримав доступ до внутрішніх систем Mithril і розкрив близько 57 субключів користувачів. Згідно з Wu Blockchain, Paradex заявив, що експлойт був обмежений інфраструктурою Mithril і не скомпрометував основну біржу.

Більше того, Paradex підкреслив, що порушені субключі мали обмежені дозволи. Ці ключі могли виконувати угоди від імені користувачів, але не могли знімати або переміщувати кошти з облікових записів користувачів. Це дизайнерське рішення ефективно захистило капітал, навіть якщо доступ до автоматизованої торгівлі був на короткий час під загрозою.

У відповідь біржа призупинила всі XP-перекази і швидко відкликала кожен субключ, пов'язаний з торговими обліковими записами, прив'язаними до Mithril. При цьому Paradex зазначив, що XP-перекази, як очікується, відновляться найближчим часом, після завершення внутрішніх перевірок і валідацій безпеки.

Що було скомпрометовано і на кого це вплинуло

Порушення вплинуло лише на тих користувачів, які підключили свої акаунти Paradex до торгових ботів Mithril. Жодні інші клієнти Paradex не постраждали, і платформа повторила, що компрометація не поширилася на її основні системи зберігання або зіставлення.

Ці субключі, розроблені для автоматизованих стратегій, дозволяють ботам розміщувати та керувати угодами, але не мають прав на зняття коштів з гаманців користувачів. Однак, хоча ця модель обмежених дозволів допомогла стримати вплив, вона все ще показала, наскільки чутливими можуть бути торгові конфігурації та стратегії, коли сторонні інструменти скомпрометовані.

Paradex поділився оновленнями через свій офіційний акаунт X і попередив користувачів про надання доступу до зовнішніх сервісів. Компанія підкреслила, що вона не контролює, як зовнішні провайдери зберігають, шифрують або захищають API-ключі та субключі, що залишає додатковий рівень ризику для трейдерів, які покладаються на автоматизацію.

Сторонні боти та зростаючі ризики автоматизації

Інцидент підкреслює ширші виклики безпеки, пов'язані зі сторонніми торговими ботами на крипторинках. Коли користувачі інтегрують зовнішні інструменти, вони фактично розширюють поверхню атаки за межі основної біржі в інфраструктуру, яку вони не бачать і не контролюють.

Більше того, Paradex наголосив, що відповідальність за перевірку цих інструментів зрештою лежить на кінцевих користувачах. Трейдерам рекомендується переглядати документацію з безпеки, практики зберігання ключів і області дозволів перед підключенням служб автоматизації до своїх акаунтів, особливо коли задіяні складні стратегії деривативів.

Для багатьох постраждалих користувачів порушення стало несподіванкою, незважаючи на обмежену масштабність. Однак швидке відкликання викритих субключів і відсутність несанкціонованих зняттів допомогли зберегти впевненість у тому, що баланси залишилися в безпеці, навіть якщо довіра до сторонніх інтеграцій була підірвана.

Дії Paradex щодо безпеки та реакція спільноти

Після виявлення компрометації Mithril, Paradex виконав серію заходів безпеки. По-перше, він зупинив XP-перекази як запобіжний захід під час проведення внутрішніх аудитів. Потім він відкликав усі субключі, пов'язані з Mithril, розриваючи скомпрометоване з'єднання з обліковими записами користувачів.

Компанія також закликала трейдерів переглянути всі активні з'єднання, видалити невикористовувані API-дані та мінімізувати дозволи де це можливо. При цьому багато членів спільноти на соціальних платформах похвалили швидку комунікацію та технічну реакцію Paradex, навіть коли вони закликали до більш суворих рекомендацій щодо сторонніх інтеграцій.

Деякі коментатори стверджували, що архітектура безпеки paradex, зокрема використання субключів без можливості зняття коштів, значно зменшила потенційну шкоду від порушення. Інші зазначили, що епізод є нагадуванням про те, що зручність та автоматизація завжди повинні бути збалансовані з ризиками операційної безпеки.

Відшкодування 650 000 доларів після збою 19 січня

Експлойт, пов'язаний з Mithril, відбувся відразу після іншої операційної проблеми для Paradex. 19 січня платформа зазнала збою мережі, що спричинило аномалії цін, включаючи короткочасне відображення Bitcoin (BTC) за ціною 0 доларів в інтерфейсі.

Цей збій призвів до хвилі неправильних ліквідацій по позиціях деривативів. Після перегляду впливу Paradex провів детальний аналіз постраждалих акаунтів і вирішив компенсувати користувачам, які були помилково ліквідовані під час збою.

Біржа зрештою видала близько 650 000 доларів відшкодувань приблизно 200 користувачам. Більше того, Paradex заявив, що цей процес перегляду тепер завершено і всі постраждалі акаунти отримали відповідну компенсацію, після раніше проведеного відкату блокчейну для виправлення аномалії.

Довіра, прозорість та уроки для DeFi трейдерів

Разом узяті, розкриття субключів та збій у січні підкреслюють, як швидкозростаючі криптовалютні торгові майданчики проходять стрес-тестування в реальних ринкових умовах. Однак вони також демонструють, чому публічне розкриття та детальна звітність про інциденти є критично важливими для підтримки довіри користувачів.

Paradex надав оновлення в стилі пост-мортем, пояснив, що було скомпрометовано, і виклав, як він пом'якшив як порушення, пов'язане з ботом, так і помилки ліквідації. Для трейдерів ключовий висновок простий: автоматизовані боти можуть збільшити прибуток, але вони також вносять нові рівні контрагентського та інфраструктурного ризику.

У середовищі, де продуктивність і зручність часто мають пріоритет, ці події підкріплюють, що надійні практики безпеки, прозора комунікація та обережне використання зовнішніх інструментів залишаються важливими. Зрештою, користувачам нагадують, що довіра до платформ і сторонніх сервісів повинна заслуговуватися постійно, а не припускатися.

Підсумовуючи, інциденти Paradex та Mithril показують, що хоча кошти користувачів залишилися захищеними субключами з обмеженими дозволами та пізнішими відшкодуваннями, як архітектура безпеки, так і швидкість комунікації тепер є центральними для конкурентної переваги в криптовалютній торгівлі.