Ethereum-Staking-Riese Lido verliert nur 1,4 ETH bei Hacking-Versuch

Ethereum-Staking-Riese Lido verliert nur 1,4 ETH bei Hacking-Versuch
CoinDesk
CoinDesk
ETH-0,45 %

Lido, das größte liquide Staking-Protokoll von Ethereum, vermied einen größeren Sicherheitsvorfall, nachdem einer seiner neun Oracle-Schlüssel kompromittiert wurde, was eine scheinbar geringe, aber schwerwiegende Sicherheitsverletzung war, an der der Validator-Betreiber Chorus One beteiligt war.

Lido sichert über 25 % aller auf Ethereum eingesetzten ETH und ist damit eines der systemisch wichtigsten Protokolle im Ethereum-Ökosystem.

Der kompromittierte Schlüssel war an eine Hot Wallet gebunden, die für die Oracle-Berichterstattung verwendet wurde, was zum Diebstahl von nur 1,46 ETH (4.200 USD) an Gasgebühren führte. Es waren keine Nutzergelder betroffen, und es wurde keine umfassendere Kompromittierung festgestellt, wie aus X Beiträgen von Lido und Chorus One hervorgeht

Das Oracle-System von Lido ist ein Blockchain-basiertes Tool, das Ethereum-Konsensdaten mithilfe eines 5-von-9-Quorum-Mechanismus an die Smart Contracts von Lido liefert. Das bedeutet, dass das System auch dann sicher funktionieren kann, wenn ein oder zwei Schlüssel kompromittiert werden.

Mitwirkende entdeckten die verdächtigen Aktivitäten erstmals am frühen Sonntag, nachdem ein Alarm bei niedrigem Kontostand einen genaueren Blick auf die Adresse ausgelöst hatte. Es wurde ein unbefugter Zugriff auf einen privaten Oracle-Schlüssel aufgedeckt, der von Chorus One verwendet wurde und ursprünglich im Jahr 2021 erstellt und nicht nach den gleichen Standards wie neuere Schlüssel gesichert wurde, so das Unternehmen in einem X-Beitrag.

Als Reaktion darauf hat Lido eine Notfall-DAO-Abstimmung gestartet, um den kompromittierten Oracle-Schlüssel über drei Verträge hinweg zu rotieren: das Accounting Oracle, das Validators Exit Bus Oracle und das CS Fee Oracle. Der neue Schlüssel wurde unter Verwendung besserer Sicherheitskontrollen generiert, um eine Wiederholung zu vermeiden.

Der Hack ereignete sich zu einem Zeitpunkt, als mehrere andere Oracle-Betreiber Probleme mit nicht damit zusammenhängenden Knoten hatten, darunter ein kleinerer Prysm-Fehler, der durch das jüngste Petra-Upgrade von Ethereum eingeführt wurde und die Oracle-Berichte am 10. Mai kurzzeitig verzögerte.

Die kompromittierte Adresse (0x140B) wird durch eine neue sichere Adresse (0x285f) ersetzt, wobei die On-Chain-Abstimmung bereits genehmigt wurde und sich ab den asiatischen Morgenstunden am Montag in ihrer 48-stündigen Einspruchsfrist befindet.

Original anzeigen
Der Inhalt dieser Seite wird von Dritten bereitgestellt. Sofern nicht anders angegeben, ist OKX nicht der Autor der zitierten Artikel und erhebt keinen Anspruch auf das Urheberrecht an den Materialien. Der Inhalt wird ausschließlich zu Informationszwecken bereitgestellt und gibt nicht die Ansichten von OKX wieder. Er stellt keine wie auch immer geartete Befürwortung dar und sollte nicht als Anlageberatung oder Aufforderung zum Kauf oder Verkauf digitaler Vermögenswerte betrachtet werden. Soweit generative KI zur Bereitstellung von Zusammenfassungen oder anderen Informationen verwendet wird, können solche KI-generierten Inhalte ungenau oder inkonsistent sein. Bitte lesen Sie den verlinkten Artikel für weitere Details und Informationen. OKX ist nicht verantwortlich für Inhalte, die auf Websites Dritter gehostet werden. Der Besitz digitaler Vermögenswerte, einschließlich Stablecoins und NFTs, ist mit einem hohen Risiko verbunden und kann starken Schwankungen unterliegen. Sie sollten sorgfältig abwägen, ob der Handel mit oder der Besitz von digitalen Vermögenswerten angesichts Ihrer finanziellen Situation für Sie geeignet ist.