SecondFi telah mengidentifikasi akar penyebab eksploitasi baru-baru ini yang menargetkan ratusan dompet Cardano. Perusahaan memperingatkan pengguna yang terkena dampak untuk tidak memulihkan frase pemulihan mereka ke dompet lain, karena kompromi terjadi pada tingkat kunci pribadi, bukan pada aplikasi dompet itu sendiri.
Dalam pembaruan investigasi yang diterbitkan pada 2 Juni, penyedia dompet Cardano itu mengatakan serangan itu berasal dari cacat dalam penurunan nonce deterministik pada penanda perangkat lunaknya. Hal ini memungkinkan penyerang untuk merekonstruksi secara matematis kunci pribadi dari data blockchain yang tersedia secara publik setelah alamat yang terkena dampak menandatangani transaksi.
Temuan ini muncul beberapa hari setelah eksploitasi tersebut menguras sekitar 16 juta ADA, senilai kira-kira $2,4 juta. Kejadian ini berdampak pada 374 dompet dalam empat peristiwa pengosongan dompet terpisah.
SecondFi Mengatakan Cacat Penandatanganan Membocorkan Kunci Pribadi
Menurut SecondFi, kerentanan itu ada pada tingkat alamat. Ini berarti kunci yang dikompromikan tetap terbongkar bahkan jika pengguna mengimpor frase pemulihan yang sama ke dompet Cardano lain.
Perusahaan mengatakan setiap transaksi yang ditandatangani oleh alamat yang terkena dampak membocorkan informasi yang cukup bagi penyerang untuk mendapatkan kunci pribadi alamat tersebut dari data on-chain.
Sebagai akibatnya, SecondFi mendesak pengguna yang terkena dampak untuk tidak memindahkan frase pemulihan mereka ke dompet lain atau mencoba memindahkan dana secara mandiri. Mereka memperingatkan bahwa alamat yang dikompromikan dapat dikuras lagi.
Mereka juga memperingatkan agar tidak menarik imbalan staking, karena transaksi semacam itu dapat memaparkan dana kepada penyerang yang memantau mempool.
Sebagai gantinya, penyedia dompet itu menyarankan pengguna yang terkena dampak untuk menunggu proses pemulihan resmi mereka sambil mengajukan klaim melalui portal dukungan mereka.
Upaya Pemulihan Masuk Fase Berikutnya
SecondFi mengatakan mereka telah menyelesaikan pemetaan semua dompet yang terkena dampak selama eksploitasi awal dan telah memulai tahap berikutnya dari program pemulihan mereka.
Perusahaan mengonfirmasi bahwa 374 alamat dompet terkena dampak, dengan sekitar 16 juta ADA dikompromikan. Mereka menambahkan bahwa upaya penahanan darurat telah mengamankan sekitar 129 juta ADA, yang sedang ditahan menunggu operasi pemulihan.
SecondFi juga telah mendirikan dana restorasi khusus untuk mengganti kerugian pengguna yang terkena dampak dan melibatkan beberapa perusahaan keamanan eksternal untuk mengaudit sistem mereka sebelum melanjutkan operasi normal.
Platform ini tetap dalam mode pemeliharaan sementara tinjauan keamanan independen terus berlanjut.
Penyelidik Mengidentifikasi Dua Kelompok Penyerang
Sebagai bagian dari pembaruan terbarunya, SecondFi mengatakan mereka telah mengidentifikasi dan mengisolasi alamat blockchain yang terkait dengan dua penyerang yang bertanggung jawab atas kampanye pengosongan dompet otomatis antara 21 dan 23 Juni.
Menurut penyelidikan, satu penyerang menguras 171 dompet dalam dua gelombang. Sementara itu, aktor kedua mengompromikan 203 dompet selama penyapuan terpisah.
Perusahaan juga mengungkapkan bahwa sekitar 4,02 juta ADA yang terkait dengan eksploitasi masih tersisa di satu dompet koleksi yang telah diidentifikasi. Dompet tersebut telah ditandai dan tetap berada di bawah pemantauan aktif.
Ringkasan Akhir
- SecondFi melacak eksploitasi dompet Cardano ke cacat dalam penurunan nonce deterministik yang memungkinkan penyerang merekonstruksi kunci pribadi dari data blockchain publik.
- Perusahaan telah meluncurkan program pemulihan, mengidentifikasi dua kelompok penyerang, dan memperingatkan pengguna yang terkena dampak untuk tidak memulihkan frase pemulihan yang dikompromikan ke dompet lain.
