„Lido“ tiria „Oracle“ raktų kompromitaciją, DAO siūlo skubų raktų rotavimą
Trumpai
Įkūrėjas DefiLlama pažymėjo, kad įvyko saugumo pažeidimas, susijęs su vienu iš adresų, susietų su „Lido“ „Oracle“ daugiaparašiu piniginiu, iš kurio užpuolikai išėmė 1.4 ETH.
Decentralizuotų finansų įkūrėjas (DeFi) bendros vertės užrakinimo (TVL) sekimo platforma DefiLlama„0xngmi“ socialinės žiniasklaidos platformoje X pažymėjo, kad įvyko saugumo pažeidimas, susijęs su vienu iš adresų, susijusių su Atviras plaukimo baseinas„Oracle“ kelių parašų piniginė.
Užpuolikai iš pažeisto adreso paėmė maždaug 1.4 ETH – šis veiksmas atskleidė neteisėtą prieigą. Atsižvelgiant į incidentą, buvo pasiūlyta, kad nedidelio kiekio lengvai atsekamų žetonų laikymas daugiaženklėse piniginėse galėtų būti pagrindinis ankstyvojo perspėjimo mechanizmas, galintis signalizuoti apie bet kokią neteisėtą veiklą.
Gegužės 10 d. „Lido“ pranešė, kad vienas iš jos orakulų adresų, kuriuos valdo „Chorus One“, buvo pažeistas ir jo ETH likutis buvo išimtas. Incidentas iškilo į viešumą po to, kai „Lido“ bendradarbis ištyrė mažo likučio įspėjimą, kuris leido nustatyti neįprastą veiklą, susijusią su raktu, susietu su „Chorus One“ valdomu „Lido“ orakuliu. Šis raktas, kuris buvo naudojamas nuo jo sukūrimo 2021 m., per naktį buvo ištuštintas. Nors tiksli pažeidimo priežastis nenustatyta, pirminiai vertinimai rodo, kad jį galėjo lemti ankstesnis privataus rakto nutekėjimas, o ne aktyvus ar besitęsiantis infrastruktūros gedimas.
Po šio atradimo „Lido“ bendradarbiai susisiekė su „Chorus One“, kad gautų patvirtinimą, ir pradėjo oficialų tyrimą.
Reaguodama į incidentą, „Lido DAO“ pasiūlė skubią priemonę – pakeisti pažeistą orakulinį raktą, naudojamą keliose svarbiose sutartyse, įskaitant „Accounting Oracle“, „Validators Exit Bus Oracle“ ir „CS Fee Oracle“ „HashConsensus“ komponentus. Šiuo metu vyksta bendruomenės balsavimas dėl šio pasiūlymo, kuris tęsis iki gegužės 16 d.
Pasak „Lido“, steikingo protokolas išlieka saugus ir veikia visu pajėgumu. Nebuvo pastebėta jokio poveikio vartotojų lėšoms ar platesnei sistemai. Orakulo architektūra, kuriai reikalingas mažiausiai penkių iš devynių dalyvių kvorumas, liko nepakitusi. Visi kiti orakulų mazgai buvo patikrinti ir jokių pažeidimų požymių nerasta, taip pat nėra jokių įrodymų, rodančių platesnę saugumo problemą, turinčią įtakos „Chorus One“.
„Lido“ protokolas pagerina likvidų steikingą naudojimą su „Oracle“ infrastruktūra, kad būtų užtikrintas saugus ir lankstus turto valdymas
Geriausios Atviras plaukimo baseinas protokolas leidžia dalyviams įkeisti skaitmeninį turtą nereikalaujant, kad jie užrakintų savo turimus išteklius ar valdytų savo patvirtinimo mazgus. Už tai vartotojai gauna likvidžius įkeisto turto žetonus, kurie atspindi jų įkeistą turtą ir laikui bėgant kaupia įkeisto turto atlygį. Šie žetonai gali būti naudojami decentralizuotose finansų ekosistemose įvairiems tikslams, pavyzdžiui, skolinimui, prekybai ar užstatui, suteikiant lankstumo, o pradinis turtas lieka įkeistas.
Svarbiausias „Lido“ architektūros komponentas yra jos orakulų sistema, kuri atlieka pagrindinį vaidmenį palaikant duomenų tikslumą tarp „Ethereum“ konsensuso ir vykdymo sluoksnių. Ši sistema apima tiek grandinėje veikiančias išmaniąsias sutartis, tiek ne grandinėje veikiančias operacijas, kurias valdo pasirinkti subjektai. Tarp dalyvaujančių išmaniųjų sutarčių „AccountingOracle“ renka duomenis iš ne grandinėje esančių šaltinių apie validatorių likučius, veiklos rodiklius ir saugyklos lėšas, palaikydama tokias funkcijas kaip likučių atnaujinimai, išėmimai ir atlygio paskirstymas. „ValidatorsExitBus“ komponentas seka duomenis, susijusius su validatoriais, kurie savanoriškai pasirenka išeiti, ir padeda koordinuoti perėjimo ir išėmimo procesus.
Kiekvienam „Lido“ ekosistemos orakulų operatoriui priskiriamas unikalus „Ethereum“ adresas, kuris suteikia galimybę pateikti duomenis šioms sutartims. Šie duomenys yra būtini norint palaikyti atnaujintas ir saugias operacijas visoje steikingo infrastruktūroje.
Atsakomybės neigimas
Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.
Apie autorių
Alisa, atsidavusi žurnalistė MPost, specializuojasi kriptovaliutų, nulinių žinių įrodymų, investicijų ir plataus masto Web3. Akylai žvelgdama į naujas tendencijas ir technologijas, ji pateikia išsamią informaciją, kad informuotų ir įtrauktų skaitytojus į nuolat besikeičiančią skaitmeninių finansų aplinką.
Daugiau straipsnių
Alisa, atsidavusi žurnalistė MPost, specializuojasi kriptovaliutų, nulinių žinių įrodymų, investicijų ir plataus masto Web3. Akylai žvelgdama į naujas tendencijas ir technologijas, ji pateikia išsamią informaciją, kad informuotų ir įtrauktų skaitytojus į nuolat besikeičiančią skaitmeninių finansų aplinką.
