SecondFi đã xác định được nguyên nhân gốc rễ của vụ khai thác gần đây nhắm vào hàng trăm ví Cardano. Công ty cảnh báo người dùng bị ảnh hưởng không khôi phục cụm từ khôi phục của họ vào một ví khác, vì sự xâm phạm xảy ra ở cấp độ khóa riêng tư chứ không phải ở chính ứng dụng ví.
Trong một bản cập nhật điều tra được công bố vào ngày 2 tháng 65, nhà cung cấp ví Cardano cho biết cuộc tấn công bắt nguồn từ một lỗi trong trình ký phần mềm liên quan đến việc tạo nonce xác định. Điều này cho phép kẻ tấn công tái tạo lại khóa riêng tư một cách toán học từ dữ liệu blockchain có sẵn công khai sau khi các địa chỉ bị ảnh hưởng ký giao dịch.
Những phát hiện này được đưa ra vài ngày sau khi vụ khai thác rút cạn khoảng 16 triệu ADA, trị giá khoảng 2,4 triệu USD. Sự việc ảnh hưởng đến 374 ví trong bốn sự kiện rút cạn ví riêng biệt.
SecondFi nói lỗi ký giao dịch làm lộ khóa riêng tư
Theo SecondFi, lỗ hổng tồn tại ở cấp độ địa chỉ. Điều này có nghĩa là các khóa bị xâm phạm vẫn bị lộ ngay cả khi người dùng nhập cùng một cụm từ khôi phục vào một ví Cardano khác.
Công ty cho biết mọi giao dịch được ký bởi một địa chỉ bị ảnh hưởng đều rò rỉ đủ thông tin để kẻ tấn công suy ra khóa riêng tư của địa chỉ đó từ dữ liệu trên chuỗi.
Do đó, SecondFi kêu gọi người dùng bị ảnh hưởng không di chuyển cụm từ khôi phục của họ sang ví khác hoặc cố gắng di chuyển tiền một cách độc lập. Công ty cảnh báo rằng các địa chỉ bị xâm phạm có thể bị rút cạn một lần nữa.
Công ty cũng khuyến cáo không rút phần thưởng staking, vì những giao dịch như vậy có thể làm lộ tiền cho kẻ tấn công đang theo dõi mempool.
Thay vào đó, nhà cung cấp ví khuyên người dùng bị ảnh hưởng nên chờ quy trình khôi phục chính thức của công ty trong khi gửi yêu cầu bồi thường qua cổng hỗ trợ của họ.
Nỗ lực phục hồi bước vào giai đoạn tiếp theo
SecondFi cho biết họ đã hoàn thành việc lập bản đồ tất cả các ví bị ảnh hưởng trong vụ khai thác ban đầu và đã bắt đầu giai đoạn tiếp theo của chương trình phục hồi.
Công ty xác nhận rằng 374 địa chỉ ví đã bị ảnh hưởng, với khoảng 16 triệu ADA bị xâm phạm. Công ty nói thêm rằng các nỗ lực ngăn chặn khẩn cấp đã bảo đảm được khoảng 129 triệu ADA, số tiền này đang được giữ lại chờ các hoạt động phục hồi.
SecondFi cũng đã thành lập một quỹ phục hồi chuyên dụng để hoàn trả cho người dùng bị ảnh hưởng và đã thuê nhiều công ty bảo mật bên ngoài để kiểm toán hệ thống của mình trước khi hoạt động bình thường trở lại.
Nền tảng vẫn đang trong chế độ bảo trì trong khi các đánh giá bảo mật độc lập tiếp tục được tiến hành.
Nhà điều tra xác định hai nhóm tấn công
Trong bản cập nhật mới nhất của mình, SecondFi cho biết họ đã xác định và cách ly các địa chỉ blockchain liên quan đến hai kẻ tấn công chịu trách nhiệm cho các chiến dịch rút cạn ví tự động trong khoảng thời gian từ ngày 21 đến 23 tháng 6.
Theo cuộc điều tra, một kẻ tấn công đã rút cạn 171 ví qua hai đợt. Đồng thời, một tác nhân thứ hai đã xâm phạm 203 ví trong một đợt quét riêng biệt.
Công ty cũng tiết lộ rằng khoảng 4,02 triệu ADA liên quan đến vụ khai thác vẫn còn trong một ví thu gom đã được xác định. Ví này đã được đánh dấu và vẫn đang được theo dõi chặt chẽ.
Tóm tắt cuối cùng
- SecondFi truy ra vụ khai thác ví Cardano đến một lỗi trong việc tạo nonce xác định, cho phép kẻ tấn công tái tạo khóa riêng tư từ dữ liệu blockchain công khai.
- Công ty đã khởi động một chương trình phục hồi, xác định hai nhóm tấn công và cảnh báo người dùng bị ảnh hưởng không khôi phục các cụm từ khôi phục đã bị xâm phạm vào các ví khác.
