SecondFi определила корневую причину недавнего эксплойта, направленного на сотни кошельков Cardano. Компания предупредила пострадавших пользователей не восстанавливать свои сид-фразы в другом кошельке, так как компрометация произошла на уровне приватного ключа, а не самого приложения-кошелька.
В обновлении расследования, опубликованном 25 июня, провайдер кошельков Cardano заявил, что атака произошла из-за ошибки в детерминированном выведении одноразового числа (nonce) в его программном модуле подписи. Это позволило злоумышленникам математически восстановить приватные ключи из общедоступных данных блокчейна после того, как затронутые адреса подписали транзакции.
Выводы появились спустя несколько дней после того, как эксплойт похитил примерно 16 миллионов ADA, стоимостью около $2.4 миллиона. Затронуты были 374 кошелька в ходе четырех отдельных эпизодов опустошения.
SecondFi: Ошибка подписи раскрыла приватные ключи
Согласно SecondFi, уязвимость существовала на уровне адреса. Это означает, что скомпрометированные ключи остаются раскрытыми, даже если пользователи импортируют ту же самую сид-фразу в другой кошелек Cardano.
Компания заявила, что каждая транзакция, подписанная затронутым адресом, раскрывала достаточно информации для злоумышленников, чтобы вывести приватный ключ этого адреса из данных в блокчейне.
В результате SecondFi призвала пострадавших пользователей не переносить свои сид-фразы в другой кошелек и не пытаться самостоятельно перемещать средства. Компания предупредила, что скомпрометированные адреса могут быть опустошены снова.
Также было предостережение против вывода стейкинг-вознаграждений, поскольку такие транзакции могут раскрыть средства злоумышленникам, наблюдающим за мемпулом.
Вместо этого провайдер кошельков посоветовал пострадавшим пользователям дождаться его официального процесса восстановления, подав при этом заявки через портал поддержки.
Восстановление переходит в следующую фазу
SecondFi заявила, что завершила картирование всех кошельков, затронутых в ходе первоначального эксплойта, и начала следующий этап своей программы восстановления.
Компания подтвердила, что были затронуты адреса 374 кошельков, и скомпрометировано примерно 16 миллионов ADA. Добавлено, что усилия по экстренному сдерживанию уже защитили около 129 миллионов ADA, которые удерживаются в ожидании операций по восстановлению.
SecondFi также создала специальный фонд восстановления для возмещения ущерба пострадавшим пользователям и привлекла несколько внешних компаний по безопасности для аудита своих систем перед возобновлением нормальной работы.
Платформа остается в режиме обслуживания, в то время как независимые проверки безопасности продолжаются.
Следователи выявили две группы злоумышленников
В рамках своего последнего обновления SecondFi сообщила, что определила и изолировала адреса в блокчейне, связанные с двумя злоумышленниками, ответственными за автоматизированные кампании по опустошению кошельков в период с 21 по 23 июня.
Согласно расследованию, один злоумышленник опустошил 171 кошелек в две волны. В то же время второй субъект скомпрометировал 203 кошелька в ходе отдельной атаки.
Компания также раскрыла, что примерно 4.02 миллиона ADA, связанных с эксплойтом, остаются на одном из выявленных сборных кошельков. Этот кошелек был помечен и остается под активным наблюдением.
Итоговое резюме
- SecondFi отследила эксплойт кошельков Cardano до ошибки детерминированного выведения одноразового числа (nonce), которая позволила злоумышленникам восстанавливать приватные ключи из публичных данных блокчейна.
- Компания запустила программу восстановления, выявила две группы злоумышленников и предупредила пострадавших пользователей не восстанавливать скомпрометированные сид-фразы в других кошельках.
