Plus tôt dans la journée, l’une des clés de signature d’oracle de Lido, exploitée par Chorus One, a été compromise. Qu’est-ce que cela signifie ?
()
Le plus important : l’oracle n’est pas un multi-sig. Il ne conserve pas de fonds et ne peut pas drainer le protocole. Aucun dépôt d’utilisateur n’a jamais été menacé.
Alors, à quoi sert exactement cet oracle ? Lido utilise un oracle 5 sur 9 pour signaler l’état de la couche de consensus Ethereum aux contrats intelligents de la couche d’exécution Ethereum. En gros, il informe les contrats Lido combien les validateurs ont gagné pour les utilisateurs ce jour-là, si des coupes ont eu lieu, etc.
Quel est le pire scénario ? Si l’ensemble de l’oracle était compromis, il pourrait mal signaler l’état de la couche de consensus, ce qui entraînerait un léger rebasage de stETH dans un sens ou dans l’autre. Cependant, l’impact est considérablement limité, car le protocole Lido limite strictement les mises à jour d’oracle qu’il accepte.
Vous avez peut-être entendu dire que l’attaquant a volé 1,4 ETH. C’est vrai, mais il s’agissait d’argent du gaz qui se trouvait sur le compte compromis, sans rapport avec le protocole. En raison de la façon dont l’oracle agrège les rapports de plusieurs signataires, la compromission de quatre clés n’affecterait pas le résultat final. Même avec cinq ou plus, les dommages potentiels sont étroitement limités.
Le fait que l’état CL ne soit pas directement disponible sur l’EL est une limitation connue d’Ethereum à laquelle tous les pools de jalonnement sont confrontés. En fait, il s’agit d’un exemple parfait de la façon dont Lido aborde la sécurité, en renforçant activement toutes les dépendances externes. Non seulement Lido a des contrôles stricts sur les mises à jour autorisées, mais l’année prochaine, l’ensemble du mécanisme passera à une épreuve ZK. (
Pour plus de détails sur l’incident d’aujourd’hui, des informations techniques sur la conception de l’oracle de Lido et ce qui distingue notre culture de sécurité, consultez également le fil de discussion d’Izzy :
⚠️ Annonce du vote d’urgence de la DAO Lido : rotation d’un seul oracle Lido lié à la clé privée de l’oracle Chorus One compromise.
Les stakers ne sont pas affectés. Le protocole reste sécurisé et pleinement opérationnel. Le système d’oracle est robuste de par sa conception, avec un quorum de 5/9, et tous les autres participants restent en sécurité.
✔️ Fonctionnement des opérations Oracle, aucun signe de problème dans le logiciel ou les rapports Oracle
✔️ Huit autres oracles vérifiés et aucun signe de compromission
✔️ Aucun signe d’un compromis plus large avec Chorus One
Le vote commencera sous peu.
108,91 k
146
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles cités et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni à titre d’information uniquement et ne représente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas être considéré comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numériques. Dans la mesure où l’IA générative est utilisée pour fournir des résumés ou d’autres informations, ce contenu généré par IA peut être inexact ou incohérent. Veuillez lire l’article associé pour obtenir davantage de détails et d’informations. OKX n’est pas responsable du contenu hébergé sur des sites tiers. La détention d’actifs numériques, y compris les stablecoins et les NFT, implique un niveau de risque élevé et leur valeur peut considérablement fluctuer. Examinez soigneusement votre situation financière pour déterminer si le trading ou la détention d’actifs numériques vous convient.