Thông tin của HCCVenture Group chỉ nhằm mục đích cung cấp thông tin tham khảo và không được xem là lời khuyên đầu tư. Chúng tôi không chịu trách nhiệm đối với bất kỳ rủi ro hay tổn thất nào phát sinh từ các quyết định đầu tư dựa trên nội dung tại đây.
EMURGO chính thức ngừng hỗ trợ SecondFi sau khi lỗ hổng khóa riêng tư của ví Cardano
EMURGO, một trong ba thực thể sáng lập của Cardano, đã xác nhận trong sản phẩm ví Yoroi được đổi tên của họ, sẽ không hoạt động bình thường trở lại sau vụ tấn công khóa riêng tư làm mất khoảng 16 triệu ADA.
TIN TỨC
7/8/20269 phút đọc


Những Khóa Chưa Bao Giờ Thực Sự Bí Mật
Cuộc điều tra độc lập trên chuỗi của công ty tình báo blockchain Bitquery, tái tạo lại từng giao dịch bị đánh cắp dữ liệu, đã truy tìm nguồn gốc của vụ xâm phạm đến tính ngẫu nhiên yếu trong mã tạo khóa của SecondFi và nhấn mạnh rằng chính giao thức Cardano đã xử lý các giao dịch chính xác như thiết kế. Cơ chế chính xác vẫn còn gây tranh cãi; báo cáo pháp y từ Tibane Labs mô tả nó là lỗi ký Ed25519, trong khi những người khác cho rằng đó là lỗi tạo nonce, nhưng các nhà nghiên cứu đều đi đến cùng một kết luận: các khóa mà SecondFi tạo ra chưa bao giờ thực sự bí mật.
Đặc điểm gây thiệt hại nhất của lỗ hổng này là phạm vi của nó: vì lỗi tạo khóa riêng tư mang tính cấu trúc chứ không phải cụ thể theo cài đặt, nên mọi ví được tạo thông qua giao diện web bị ảnh hưởng của SecondFi đều mang một khóa có thể suy ra được bất kể hành vi của người dùng. Lừa đảo, đánh cắp mật khẩu và kỹ thuật xã hội không đóng vai trò gì trong vụ khai thác này. Kẻ tấn công chỉ cần dữ liệu công khai trên chuỗi để tái tạo khóa riêng tư cho các ví bị ảnh hưởng, tạo ra một bề mặt tấn công thụ động tích lũy khi người dùng tạo ví mới trên nền tảng. Đặc điểm này khiến cảnh báo "không khôi phục cụm từ hạt giống của bạn vào ví mới" trở nên quan trọng, vì dữ liệu khóa bị xâm phạm được truyền cùng với cụm từ hạt giống chứ không nằm trong giao diện ví cụ thể.
SecondFi xác nhận ba cuộc tấn công từ bên ngoài đã rút 16 triệu ADA từ 374 ví. Trước khi kẻ tấn công có thể tiếp cận thêm 129 triệu ADA, SecondFi đã kích hoạt các biện pháp giải cứu khẩn cấp, chuyển số tiền đó cho một bên thứ ba độc lập. Một công ty kế toán bên ngoài đã được thuê để xác minh số tiền nắm giữ này. Thành công của hoạt động giải cứu trong việc bảo vệ 129 triệu ADA trong khi mất 16 triệu cho thấy SecondFi đã phát hiện ra sự rút tiền đang diễn ra trước khi tất cả các ví dễ bị tổn thương bị rút sạch, nhưng việc giữ tiền cứu hộ vô thời hạn hiện đang xác định vấn đề phục hồi cho EMURGO, vì những tài sản đó yêu cầu cơ sở hạ tầng phục hồi trên chuỗi có thể kiểm toán được trước khi chúng có thể được trả lại cho chủ sở hữu một cách an toàn.
Mã nguồn chưa được kiểm toán trong môi trường sản xuất
Tibane Labs cho rằng lỗi này là do thư viện ký điện tử của bên thứ ba chưa được kiểm toán, thay thế cho mã nguồn đã được kiểm toán trước đó của EMURGO ngay trước khi lỗ hổng được khai thác — và nhà nghiên cứu bảo mật độc lập Taylor Monahan mô tả SecondFi là "tự phát triển mã hóa của riêng họ", mô tả phần mềm này là mã nguồn đóng và chưa được kiểm toán. Cả hai đều xem sự việc này không phải là một lỗi không may mà là một thất bại về quản trị và quy trình: một thực thể sáng lập Cardano đã đưa mã nguồn chưa được kiểm toán vào môi trường sản xuất mà không có đánh giá độc lập có thể phát hiện ra lỗ hổng.
Sự khác biệt giữa "lỗi không may" và "thất bại về quản trị" mang ý nghĩa pháp lý và cộng đồng đáng kể: lỗi không may thuộc một phạm trù đáng thông cảm, nơi các nhà phát triển đã nỗ lực hợp lý nhưng vẫn tạo ra kết quả sai sót, trong khi thất bại về quản trị ngụ ý rằng các quy trình đã được thiết lập - kiểm toán mã nguồn, kiểm tra bảo mật, ủy quyền triển khai - đã bị bỏ qua hoặc lơ là theo những cách mà đánh giá độc lập có thể ngăn chặn. Việc mô tả rằng EMURGO đã đưa mã nguồn chưa được kiểm toán để thay thế cơ sở hạ tầng đã được kiểm toán trước đó cho thấy sự thụt lùi về quy trình, trong đó các tiêu chuẩn bảo mật đã bị suy giảm chứ không phải được tích lũy theo thời gian.
Trễ tiến độ khôi phục và thời gian chờ đợi vô thời hạn
Khi EMURGO lần đầu tiên vạch ra lộ trình khôi phục vào cuối tháng 6, họ đặt mục tiêu hoàn trả tài sản trong khoảng hai tuần. Thời hạn đó đã không được đáp ứng, và EMURGO cho biết cần phải có một cuộc kiểm toán độc lập về hệ thống khôi phục trước khi họ có thể hoàn trả tiền, tốc độ vẫn là ưu tiên nhưng an toàn là yếu tố hàng đầu vì các tác nhân đe dọa đã biết về lỗ hổng này.
Việc không đạt được ước tính khôi phục trong hai tuần cho thấy một mô hình mà các sự cố an ninh tiền điện tử thường xuyên thể hiện: sự phức tạp của việc thiết kế các hệ thống khôi phục trên chuỗi có thể kiểm toán được cho các ví có khóa riêng có thể suy ra được — trong đó việc hoàn trả tiền về địa chỉ ban đầu có thể khiến tài sản được khôi phục rơi vào tay cùng một kẻ tấn công đã rút tiền từ ví — vượt quá đáng kể các ước tính kế hoạch ban đầu. Người dùng có tài sản được giải cứu vào các tài khoản lưu ký của bên thứ ba phải đối mặt với thời gian chờ đợi vô thời hạn, điểm kết thúc phụ thuộc vào việc hoàn thành kiểm toán an ninh và khả năng của EMURGO trong việc thiết kế một cơ chế khôi phục mà kẻ tấn công không thể khai thác trong quá trình hoàn trả.
EMURGO đồng thời cảnh báo về những kẻ lừa đảo sử dụng tài khoản khôi phục giả mạo và các liên kết hỗ trợ giả mạo nhắm vào người dùng đang gặp khó khăn, thiết lập vectơ gây hại thứ cấp thường đi kèm với các sự cố bảo mật lớn: kẻ tấn công theo dõi các kênh liên lạc công khai và lợi dụng sự tuyệt vọng của nạn nhân bằng cách mạo danh. Hướng dẫn rõ ràng chỉ xác minh thông qua các kênh chính thức của SecondFi phản ánh kinh nghiệm cay đắng với các vụ lừa đảo mạo danh đã làm gia tăng thiệt hại trong các tình huống tương tự trong lịch sử hệ sinh thái tiền điện tử.
Đánh giá và kết luận
Việc đóng cửa vĩnh viễn SecondFi đánh dấu thất bại nghiêm trọng nhất trong lịch sử cơ sở hạ tầng ví điện tử của Cardano, với yếu tố trầm trọng hơn cả là thất bại này bắt nguồn từ một tổ chức sáng lập chứ không phải một nhà phát triển bên thứ ba độc lập mà người dùng có thể dễ dàng bỏ qua các thực tiễn bảo mật của họ. Thất bại trong quản trị khi sử dụng mã nguồn chưa được kiểm toán để thay thế cơ sở hạ tầng đã được kiểm toán đã thiết lập một kỳ vọng tối thiểu mà người dùng, cơ quan quản lý và các đối tác tổ chức nên áp dụng cho các sản phẩm ví điện tử tuyên bố được hỗ trợ bởi các tổ chức: đánh giá bảo mật độc lập liên tục đối với tất cả các thay đổi mã nguồn đang được sản xuất, chứ không chỉ đơn thuần là kiểm toán ban đầu mã nguồn gốc.
Đối với hệ sinh thái Cardano rộng lớn hơn, việc EMURGO đóng cửa vĩnh viễn SecondFi thay vì cố gắng phục hồi đã gửi một tín hiệu rõ ràng rằng vi phạm bảo mật đã được đánh giá là không thể khắc phục được từ góc độ lòng tin, một kết luận sẽ định hình cách các nhà phát triển ví điện tử cạnh tranh truyền đạt các thực tiễn bảo mật của riêng họ và cách các thành viên cộng đồng Cardano đánh giá các tuyên bố về sản phẩm ví điện tử khi thiếu cơ sở hạ tầng xác minh độc lập mà hệ sinh thái hiện không cung cấp ở quy mô lớn.
Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này là nhận định cá nhân của tác giả trong lĩnh vực tiền mã hóa. Đây hoàn toàn không phải là lời khuyên tài chính hay đầu tư. Mọi quyết định đầu tư đều nên dựa trên sự cân nhắc kỹ lưỡng danh mục cá nhân và mức độ chấp nhận rủi ro của bạn. Quan điểm trong bài viết không đại diện cho lập trường chính thức của nền tảng. Chúng tôi khuyến nghị người đọc tự nghiên cứu và tham khảo ý kiến chuyên gia trước khi đưa ra bất kỳ quyết định đầu tư nào.
Tổng hợp và phân tích bởi HCCVenture
Theo dõi tổ chức HCCVenture tại đây : https://link3.to/holdcoincventure
HOLD Coin CVenture
Kết nối với chúng tôi
©2023 HCCVenture Group
Thông tin liên hệ
Gmail : sp_contact@hccventure.com


Khám phá HCCVenture group
Nội dung phổ cập
Nhận định chiến lược
Miễn trừ trách nhiệm: Thông tin trên website này chỉ nhằm mục đích cung cấp thông tin tham khảo và không được xem là lời khuyên đầu tư. Chúng tôi không chịu trách nhiệm đối với bất kỳ rủi ro hay tổn thất nào phát sinh từ các quyết định đầu tư dựa trên nội dung tại đây.
CÁC NỘI DUNG PHÂN TÍCH VÀ TIN TỨC ĐỀU ĐƯỢC TỔNG HỢP VÀ CUNG CẤP BỞI CÁC CHUYÊN GIA TRONG LĨNH VỰC TÀI CHÍNH SỐ VÀ BLOCKCHAIN THUỘC TỔ CHỨC HCCVENTURE, BAO GỒM QUYỀN SỞ HỮU NỘI DUNG.
CHỊU TRÁCH NHIỆM QUẢN LÝ TOÀN BỘ NỘI DUNG VÀ PHÂN TÍCH : NHÀ SÁNG LẬP HCCVENTURE - TRUONG MINH HUY
Đọc cảnh báo về lừa đảo và email lừa đảo — BÁO CÁO SỰ CỐ VỚI TRANG WEB CỦA CHÚNG TÔI.


