Гігант стейкінгу Ethereum Lido втратив лише 1,4 ETH у спробі злому

Гігант стейкінгу Ethereum Lido втратив лише 1,4 ETH у спробі злому
CoinDesk
CoinDesk
ETH-0,31%

Lido, найбільший протокол ліквідного стейкінгу Ethereum, уникнув серйозного інциденту з безпекою після того, як один із дев'яти його ключів оракула був скомпрометований у результаті того, що, схоже, є незначним, але серйозним порушенням за участю оператора валідатора Chorus One.

Lido забезпечує понад 25% усіх ETH, розміщених у стейкінгу Ethereum, що робить його одним із найбільш системно важливих протоколів в екосистемі Ethereum.

Скомпрометований ключ був прив'язаний до гарячого гаманця, який використовувався для звітності оракулів, що призвело до крадіжки лише 1,46 ETH (4 200 доларів) комісії за газ. Це не вплинуло на жодні кошти користувачів, і не було виявлено ширшої компрометації, згідно з X-повідомленнями як від Lido, так і від Chorus One

Система оракулів Lido — це інструмент на основі блокчейну, який надає консенсусні дані Ethereum смарт-контрактам Lido за допомогою механізму кворуму 5 із 9. Це означає, що навіть якщо один або два ключі будуть скомпрометовані, система може функціонувати безпечно.

Дописувачі вперше виявили підозрілу активність рано вранці в неділю після того, як попередження про низький баланс спонукало уважніше розглянути адресу. Він виявив несанкціонований доступ до приватного ключа оракула, який використовується Chorus One, який спочатку був створений у 2021 році та не захищений за тими ж стандартами, що й новіші ключі, йдеться в повідомленні фірми X.

У відповідь Lido запустила екстрене голосування DAO для ротації скомпрометованого ключа оракула за трьома контрактами: Accounting Oracle, Validators Exit Bus Oracle та CS Fee Oracle. Новий ключ було згенеровано з використанням кращих елементів керування безпекою, щоб уникнути будь-якого повторення.

Злом стався саме тоді, коли кілька інших операторів оракулів зіткнулися з непов'язаними проблемами з вузлами, включаючи незначну помилку Prysm, запроваджену нещодавнім оновленням Ethereum Pectra, що ненадовго затримало звіти оракула 10 травня.

Скомпрометована адреса (0x140B) замінюється новою безпечною адресою (0x285f), голосування в ланцюжку вже схвалено і перебуває в 48-годинному періоді заперечень станом на азіатські ранкові години понеділка.

Показати оригінал
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.