Предупреждение безопасности крипты за неделю!
Нам сообщили о том, что сотни бездействующих кошельков были опустошены за неделю. 🚀 Это связано с тем, что кошельки были привязаны к одному адресу, что сделало их уязвимыми для кражи. Они были старыми кошельками с тихими историями, некоторые из которых использовались для управлением активами и инструментария из более раннего Эфириумского эры.
Более 260 ETH, примерно 600 000 долларов, были опустошены из сотен бездействующих кошельков. Более 500 кошельков были затронуты, а потери составляют примерно 800 000 долларов. Многие кошельки оставались бездействующими четыре или восемь лет. Лейбл связан с фишинговым сообщением Fake_Phishing2831105, показывающим 596 транзакций, и записывающим движение 324,741 ETH в THORChain Router v4.1.1 во время окна апреля 30.
Всё, что важно теперь, — это то, что старые бездействующие кошельки были перенесены в общую область, а путь к компромиссу осталяется неисполненным.
Нетрезвость этой проблемы в том, что она происходит на уровне кошелька. Кто-то получил старые фразы-семенами, разрушил слабо сгенерированные ключи, использовал утечку закрытого ключа, эксплуатировал инструмент, который ранее обрабатывал ключи, или эксплуатировал другой путь, который пока еще не выявлен?
Теории включают в себя слабую энтропию в старых инструментах кошельков, компрометированные грамматики, обработку ключей в торговых ботах и хранение семян Ластпасса. Один из затронутых пользователей лично поднял теорию Ластпасса.
Практический совет для пользователей ограничен, но срочен. Бездействие не смягчает риски закрытого ключа. Кошелек с активами зависит от полной истории ключа, фразы-семян, устройства, которое его сгенерировало, программного обеспечения, которое его обрабатывало, и всех мест, где секрет хранился.
Для пользователей ответ, вероятно, состоит в том, чтобы инвентаризировать старые кошельки с значимым активом, переместить активы только после настройки новых ключевых материалов с помощью доверенного оборудования или современного программного обеспечения кошельков, и избегать въезда в старые фразы-семян в проверщиках, скриптах или непроверенных инструментов восстановления. Отмена разрешений помогает для эксплуатации протоколов, но прямой кошелек с опустошением указывает в первую очередь на безопасность ключей, а не на утверждения токенов.
В апреле расширилась площадь управления. Кластер кошельков с опустошением появился в середине апреля, который уже был высоко эксплуатированным.
Апрель показал 28-30 инцидентов и потери, превышающие 625 миллионов долларов. На данный момент на 1 мая показали 28 инцидентов апреля, общая стоимость потерь достигла 635 миллионов долларов.
На 1 мая поймали точку напряженности: это недельный кошелек с опустошением, эксплуатация административного ключа Wasabi и апрельские большие потери в DeFi всех ударили по плоскости управления, которую обыкновенные пользователи редко проверяют.
Связь между месяцами архитектурная, а не атрибутивная, административные пути стали атакующими путями, который самый свежий пример протокола показал.
Была эксплуатирована административная власть с помощью UUPS обновления и привилегированного роля. Это привело к опустошению скарбников и пулах по Ethereum, Base и Blast.
Было отмечено, что административное обновление — это общая тревога, которая развивалась.
Отвлекающаяся механика показала важность управления ключами. Выполнимая возможность может быть нормальной системой поддержки. Концентрированная административная власть превращает эту поддержку в высокоценную цель. Если один администратор или привилегированный аккаунт может изменить логическую основу реализации в разных цепях, то граница вокруг проверенного контракта может исчезнуть, когда эта власть компрометирована.
Это — проблема, скрытая внутри многих интерфейсов DeFi. Протокол может представлять открытые контракты, общественные фронты и децентрализованную речь, но критическая административная власть все еще находится в небольшом наборе оперативных ключей.
Подписи и верификаторы несчастливо страдали. Drift переместил эту проблему в процесс подписи.
Социальная инженерия, долгосрочные транзакции с непрерывным nonce, фейковое залоговое обеспечение, манипуляции с оракулом и нулевая задержка миграции Совета Безопасности 2-5.
Потери составили примерно 285 миллионов долларов и было утверждено, что симуляция транзакции и более строгие политики подписи соавторов могли бы изменили исход.
Кейс Drift имеет значение, потому что путь не зависел от простой ошибки в публичной функции. Он зависел от процесса подписи, где действительные подписи и быстрый процесс управления могли быть направлены на хостильную миграцию. Процесс подписи стал плоскостью управления.
KelpDAO переместил стресс-тест в кросс-цепочное проверка. Описал конфигурацию моста, в которой rsETH использовал LayerZero Labs как единственный DVN-верификатор. Форензические отчеты описали компрометированные RPC-узлы и DDoS-давление, которое привело к ложной информации в.
Результат, согласно, был 116500 rsETH, стоимостью примерно 292 миллионов долларов, выпущенных против несуществующего сжигания. Токенный контракт может остаться целым, а мост принял ложную основу. Именно поэтому компрометация верификатора может стать проблемой рыночной структуры, когда привязанные активы находятся внутри кредитных линий и пулов ликвидности.
Правильная скорость стоит отдельного упоминания в контексте. Anthropic говорит, что обнаружили тысячи критических и показали, как AI может сжать открытие уязвимостей. Это повышает планку для защитников, но запись причин этих криптовых инцидентов указывает на ключи, подписи, административные власти, проверку моста, зависимости RPC и неисполненные экспозиции кошельков.
Безопасные последствия все еще серьезны. Более быстрая эксплуатация дает атакующим и защитникам параллельную поверхность для работы. Это также делает старые операционные краткости более дорогими, поскольку ленивые секреты, привилегированные ключи и пути с одним верификатором можно проверять быстрее, чем команды могут вручную их обследовать.
Список ремонта операционный. Контролирующие элементы, которые следует применить в апреле, находятся выше и вокруг кодовой базы.
Инцидент Затронутая контрольная точка Невзгодный режим Практическое управление Бездействующие кошельки Ethereum Старые материалы кошельков Активы были перенесены из бездействующих кошельков в один адрес, а путь к компромиссу остается нерешенным. Сброс ключа для значимых бездействующих активов, осторожное переселение активов и избегание въезда в старые ф
По материалам CryptoSlate