Keegi just viis ära pikkuse aega unustatud ja mitteaktiivseid Ethereumi rahakotte, ja põhjus võib ulatuda aastaid tagasi

Sajad kümneid aastaid kasutamata olnud Ethereum-i rahakotid tühjendati ühte sildistatud aadressi, muutes vanade võtmete avalikustamise sel nädalal kriitiliseks krüptovaluutade turvahoiatuseks.

30. aprillil märkis WazzCrypto sündmuse X-is (varem Twitter), mis puudutas mainneti rahakotte, ja nende hoiatus levitas kiiresti, kuna mõjutatud kontod ei olnud ilmselt hiljuti loodud soojad rahakotid. Need olid vanad rahakotid, millel oli vaikne ajalugu – mõned olid seotud vara ja tööriistadega varasemast Ethereum-i ajastust.

Rohkem kui 260 ETH (umbes 600 000 USD) tühjendati sadadest ununenud rahakottidest. Mõjutatud on üle 500 rahakoti, kahjude kogusumma on umbes 800 000 USD ning paljud rahakotid on olnud ebakasutatud neljast kaheksa aastani. Seotud Etherscan-i aadress on sildistatud kui Fake_Phishing2831105 ja näitab 596 tehingut ning 324,741 ETH liikumist THORChain Router v4.1.1 poole 30. aprilli ümbruses.

Nende rahakottide puhul on praegu olulisem see, et pikalt ebakasutatud rahakotid suunati ühisesse sihtkohta, samas kui kompromitteerimise tee jääb lahendamata.

Selle lahendamata vektor teeb selle tühjendamise sel nädalal tugevaimaks hoiatuseks pärast DeFi-rünnakute arvu tõusu. Protokolli rünnakud annavad tavaliselt uurijatele kontrakti, funktsioonikutsu või privileege andva tehingu inspekteerimiseks.

Siin keskendub põhiprobleem rahakoti tasandile. Kas keegi sai kätte vanu seed-fraase, murdis nõrgalt genereeritud võtmeid, kasutas lekkivat privaatvõtme materjali, kuritarvitas tööriista, mis kunagi võtmeid käiseldis, või ekspluateeris mõnda muud seni avastamatut teed?

Avalik arutelu on tekitanud teooriaid, sealhulgas nõrka entroopiat vanades rahakoti tööriistades, kompromitteeritud mnemoonikaid, kauplemisbotide võtmehaldust ja LastPassi ajastu seed-fraaside salvestamist. Üks mõjutatud kasutaja esitas isiklikult LastPassi teooria.

Kasutajatele antav praktiline nõuanne on piiratud, kuid kiireloomulik. Ebakasutatus ei vähenenda privaatvõtme riski. Väärtuslik rahakott sõltub täielikult võtme ajaloost, seed-fraasist, selle genereerinud seadmest, seda käsitlevnast tarkvarast ning igast kohast, kus see saladus võib olla salvestatud.

Kasutajate jaoks tähendab reageerimine tõenäoliselt kõrgväärtuslike vanade rahakottide inventeerimist, vahendite liigutamist ainult pärast uue võtmematerjali loomist usaldusväärse riistvara või kaasaegse rahakoti tarkvara abil ning vanade seed-fraaside sisestamist kontrollijatesse, skriptidele või tuttavatetest taastustööriistadesse vältimist. Õiguste tühistamine aitab protokolli ekspositsiooni korral, sealhulgas Wasabi kasutajahoiatuse puhul, kuid otsest rahakoti tühjendamist näitab esmajoones võtmekindlustus, mitte tokenite õiguste andmine.

Aprill laiendas kontrollipinda

Rahakottide klaster ilmus aprillis toimunud krüptovaluutade rünnakute arvutusse, mis oli juba kõrgendatud. DefiLlama-ga seotud andmed viitasid aprillile umbes 28–30 juhtumiga ja rohkem kui 625 miljoni dollari väärtuses varastatud vahenditega. 1. mail näitas DefiLlama API elus versioon 28 aprilli juhtumit kokku 635 241 950 dollari väärtuses.

1. mail avaldatud turu teema kinnitas rõhku: selle nädala rahakottide tühjendamine, Wasabi Protocoli admin-võtme rünnak ja aprillis toimunud suuremad DeFi-kahjud tabasid kõik kontrollipindu, mida tavalised kasutajad harva kontrollivad. Kuu läbi ühendab neid arhitektuuriline, mitte atribuutne seos.

Adminite teed muutusid rünnakute teeks

Wasabi Protocol pakub selgeimat hiljutist protokolli näidet. 30. aprillil toimunud rünnak tühjendas aruannete kohaselt umbes 4,5–5,5 miljonit dollarit pärast seda, kui rünnaku tegija sai deployeri/admini volitused, andis ADMIN_ROLE rünnaku tegijale kuuluvatele kontraktidele ja kasutas UUPS proxy uuendusi Ethereumil, Base’is ja Blastis olevate vaultide ja poolide tühjendamiseks. Esimesed turvahoiatused märkasid admini uuendusmustrit juba rünnaku käigus.

Aruannetes kirjeldatud mehhanismid paigutavad võtmehalduse sündmuse keskpunkti. Uuendatavus võib olla tavapärane hooldusinfrastruktuur. Keskendunud uuendusvolitused muudavad aga selle hooldusteekonna kõrgväärtuslikuks sihtmärgiks. Kui üks deployer või privileegetega konto saab muuta rakendusloogikat ristteedel, kaob auditeeritud kontrakti ümber piir, kui see volitus kompromitteeritakse.

See on kasutajale nähtav probleem, mis peitub paljude DeFi-liideses. Protokoll võib esineda avatud kontraktidena, avalike eesliidestena ja deetsentraliseerimise keelekasutusena, samas kui kriitilised uuendusvolitused jäävad väikesele operatsioonivõtmete komplektile.

Allkirjastajad ja verifikaatorid kannatasid suurimate kaotustega

Drift viis sama kontrolliprobleemi allkirjastaja töövoogu. Chainalysis kirjeldas sotsiaalset insenerit, püsivaid nonce-tehinguid, valest kollateraalist, orakli manipuleerimist ja null-aegumisajaga 2-st 5-s Security Councili migreerimist. Blockaid hindas kaotust umbes 285 miljoni dollari väärtuses ja väitis, et tehingute simuleerimine ja rangemaid koallkirjastajate poliitikaid oleksid tulemust muutnud.

Drifti juhtum on siin oluline, sest tee ei sõltunud lihtsast avalikust funktsioonist tulenevast veast. See sõltus töövoogust, kus kehtivad allkirjad ja kiire valitsemismasinarii võisid suunata vihulisele migreerimisele. Allkirjastaja protsess muutus kontrollipinnaks.

KelpDAO viis stressitestimise ristteedel toimuvasse verifitseerimisse. Sündmuse avaldus kirjeldas silla konfiguratsiooni, kus rsETH marsruut kasutas LayerZero Labsi üheainsana DVN-verifikaatorina. Forensilised ülevaated kirjeldasid kompromitteeritud RPC-sõlmi ja DDoS-rõhku, mis toitas valeandmeid ühekordsele verifitseerimisteekonnale.

Chainalysisi andmetel oli tulemuseks 116 500 rsETH, mis on väärtuses umbes 292 miljonit dollarit, väljastatud mitteolemasoleva põletuse vastu. Tokeni kontrakt võis jääda puutumata, samas kui silla süsteem aktsepteeris vale eelduse. Seepärast võib verifikaatori ebaõnnestumine muutuda turustruktuuri probleemiks, kui sildatud varad asuvad laenamisturgudel ja likviidsuspuukides.

AI kuulub kiiruse arutelusse

Minu arvates teenib Project Glasswing siin eraldi mainimist konteksti jaoks, eristatuna põhjustest. Anthropic väidab, et Claude Mythos Preview leidis tuhandeid tõsiseid tarkvaravigu ja näitab, kuidas AI võib tõhusalt kokku suruda tundmatute vigade avastamise protsessi. See tõstab kaitsjate jaoks riba, kuid põhjuste analüüs nendes krüptosündmustes viitab võtmetele, allkirjastajatele, admini volitustele, silla verifitseerimisele, RPC-sõltuvustele ja lahendamata rahakoti ekspositsioonile.

Turvalisuse tagajärjed on ikka veel tõsised. Kiirem avastamine annab nii rünnaku tegijatele kui ka kaitsjatele rohkem paralleelseid pindu, millega töötada. See teeb ka vanu operatsioonilisi lühiteid kallimaks, kuna ununenud saladused, privileegetega võtmed ja ühe-verifikaatori teed saab testida kiiremini, kui tiimid neid käsitsi üle vaadata saavad.

Parandusnimekiri on operatsiooniline

Aprillis tehtud kontrollid asuvad koodibaasi üle ja ümber.

Protokollide jaoks on prioriteet vähendada seda, mida üksainus volitusvõtja korraga teha saab. See tähendab ajalukke adminitegevustele, tugevamaid ja stabiilsemaid allkirjastajate läveväärtusi, jälgitud privileegetega tehingute järjed, selgelt piiratud parameetri muudatused ja koallkirjastussüsteemid, mis simuleerivad tehingu mõju enne inimeste heakskiitu.

Sillade jaoks on prioriteet sõltumatud verifitseerimine ja invariantide kontroll. Ristteede teade peaks olema testitud selle majandusliku tõsiasjaga, millest see väidab, et räägib. Kui rsETH lahkub ühelt poolelt, peaks süsteem kontrollima vastavat olekumuutust teisel poolel enne, kui sihtkoht väärtuse välja annab. See jälgimine peab toimuma väljaspool sama teekonda, mis teade allkirjastab.

Kasutajate jaoks on parandusnimekiri väiksem. Liigutage väärtuslikke vanu vahendeid uute võtmete alla läbi protsessi, millele te juba usaldate. Eraldage see tegevus protokollispetsiifilisest õiguste puhastamisest. Käsitlege iga väidet rahakoti tühjendamise põhjuse kohta eelduslikuna seni, kuni forensilised uuringud ei tuvastanud ühist tööriista, salvestusteed või ekspositsiooni allikat.

Järgmine test

Aprill tõestas, et tavalise kasutaja turvalisuse kontrollnimekiri on tõenäoliselt eba täielik. Audid, avalikud kontraktid ja deetsentraliseeritud liidesed võivad koos eksisteerida keskendunud admini volitustega, nõrkade allkirjastajate protseduuridega, kergesti purutatava silla verifitseerimisega ja vanade rahakoti saladustega.

Järgmisel kvartalis saavad auhinnatud tõendid, mitte deetsentraliseerimise keelekasutus: piiratud uuendusvolitused, nähtavad ajalukud, sõltumatud verifikaatori teed, privileegetega tegevuste tehingute simuleerimine, distsiplineeritud juurdepääsu kontroll ja dokumenteeritud võtmete vahetamine.

Ununenud rahakottide tühjendamine näitab ebamugavat kasutajapoolset versiooni samast probleemist. Süsteem võib olla vaikne, samas kui vanad kontrolli ebaõnnestumised ootavad taustas. Aprillis toimunud rünnakute laine paljastas selle kihi koodi üle; järgmine etapp näitab, millised tiimid käsitlevad seda turvalisuse tuumaprobleemina enne, kui vahendid liiguvad.

Postitus „Keegi just tühjendas ammu ununenud Ethereum-i rahakotid, ja põhjus võib ulatuda aastaid tagasi“ ilmus esmakordselt CryptoSlate’is.