Lido onderzoekt inbreuk op Oracle-sleutel, DAO stelt noodsleutelrotatie voor
In het kort
Oprichter van DefiLlama merkte op dat er een beveiligingsinbreuk had plaatsgevonden met betrekking tot een van de adressen die gekoppeld waren aan Lido's Oracle MultiSignature Wallet, waarvan de aanvallers 1.4 ETH hadden opgenomen.
Oprichter van de gedecentraliseerde financiën (DeFi) platform voor het volgen van de totale waarde (TVL) DefiLlama, 0xngmi merkte op op het socialemediaplatform X dat er een inbreuk op de beveiliging had plaatsgevonden met betrekking tot een van de adressen die aan Lido's Oracle multi-signature wallet.
De aanvallers haalden ongeveer 1.4 ETH op van het gecompromitteerde adres, een actie die de ongeautoriseerde toegang aan het licht bracht. Naar aanleiding van het incident werd voorgesteld om kleine hoeveelheden gemakkelijk te traceren tokens in multisig wallets te bewaren als een basismechanisme voor vroegtijdige waarschuwing, waarmee mogelijk ongeautoriseerde activiteiten worden gesignaleerd.
Op 10 mei meldde Lido dat een van haar Oracle-adressen, beheerd door Chorus One, was gehackt en dat het ETH-saldo was opgenomen. Het incident kwam aan het licht nadat een medewerker van Lido een waarschuwing voor een laag saldo had onderzocht, wat leidde tot de identificatie van ongebruikelijke activiteit met een sleutel die gekoppeld was aan het Lido Oracle, beheerd door Chorus One. Deze sleutel, die in gebruik was sinds de oprichting in 2021, was 's nachts leeggemaakt. Hoewel de precieze oorzaak van het lek nog niet is vastgesteld, suggereren eerste analyses dat het mogelijk het gevolg was van een eerder lek van de private sleutel, in plaats van een actieve of aanhoudende infrastructuurstoring.
Na de ontdekking namen de medewerkers van Lido contact op met Chorus One voor bevestiging en startten een formeel onderzoek.
Naar aanleiding van het incident stelde Lido DAO een noodmaatregel voor om de gecompromitteerde Oracle-sleutel te roteren die gebruikt wordt in verschillende kritieke contracten, waaronder de HashConsensus-componenten van Accounting Oracle, Validators Exit Bus Oracle en CS Fee Oracle. Er vindt momenteel een stemming binnen de community over dit voorstel plaats, die zal duren tot 16 mei.
Volgens Lido is het stakingprotocol nog steeds veilig en volledig operationeel. Er is geen impact waargenomen op de gebruikersfondsen of het systeem in zijn geheel. De Oracle-architectuur, die een minimum quorum van vijf van de negen deelnemers vereist, blijft intact. Alle andere Oracle-knooppunten zijn onderzocht, maar er zijn geen aanwijzingen voor een inbreuk, en er zijn geen aanwijzingen voor een breder beveiligingsprobleem met Chorus One.
Lido Protocol verbetert liquid staking met Oracle Infrastructure voor veilig en flexibel vermogensbeheer
De Lido Het protocol stelt deelnemers in staat om digitale activa te staken zonder dat ze hun bezittingen hoeven te blokkeren of hun eigen validator nodes hoeven te beheren. In ruil daarvoor ontvangen gebruikers liquide staking tokens, die dienen als representatie van hun gestakete activa en na verloop van tijd stakingbeloningen opbouwen. Deze tokens kunnen binnen gedecentraliseerde financiële ecosystemen voor verschillende doeleinden worden gebruikt, zoals kredietverlening, handel of onderpand, en bieden flexibiliteit terwijl de oorspronkelijke activa gestaked blijven.
Een belangrijk onderdeel van de architectuur van Lido is het Oracle-systeem, dat een centrale rol speelt in het handhaven van de nauwkeurigheid van gegevens tussen de consensus- en uitvoeringslagen van Ethereum. Dit systeem omvat zowel on-chain smart contracts als off-chain operaties die door geselecteerde entiteiten worden beheerd. Onder de betrokken smart contracts verzamelt AccountingOracle input van off-chain bronnen over de saldi van validators, operationele statistieken en kluisfondsen, en ondersteunt functies zoals saldo-updates, opnames en beloningsverdelingen. De ValidatorsExitBus-component houdt gegevens bij van validators die vrijwillig uitstappen, wat helpt bij de coördinatie van de overgangs- en opnameprocessen.
Elke oracle-operator in het Lido-ecosysteem krijgt een uniek Ethereum-adres toegewezen, waarmee gegevens naar deze contracten kunnen worden verzonden. Deze input is essentieel voor het up-to-date en veilig houden van de stakinginfrastructuur.
Disclaimer
In lijn met de Richtlijnen voor vertrouwensprojectenHoud er rekening mee dat de informatie op deze pagina niet bedoeld is en niet mag worden geïnterpreteerd als juridisch, fiscaal, beleggings-, financieel of enige andere vorm van advies. Het is belangrijk om alleen te beleggen wat u zich kunt veroorloven te verliezen en onafhankelijk financieel advies in te winnen als u twijfels heeft. Voor meer informatie raden wij u aan de algemene voorwaarden en de hulp- en ondersteuningspagina's van de uitgever of adverteerder te raadplegen. MetaversePost streeft naar nauwkeurige, onpartijdige berichtgeving, maar de marktomstandigheden kunnen zonder voorafgaande kennisgeving worden gewijzigd.
Over de auteur
Alisa, een toegewijd journalist bij de MPost, is gespecialiseerd in cryptocurrency, zero-knowledge proofs, investeringen en het uitgebreide domein van Web3. Met een scherp oog voor opkomende trends en technologieën levert ze uitgebreide berichtgeving om lezers te informeren en te betrekken bij het steeds evoluerende landschap van digitale financiën.
Meer artikelen
Alisa, een toegewijd journalist bij de MPost, is gespecialiseerd in cryptocurrency, zero-knowledge proofs, investeringen en het uitgebreide domein van Web3. Met een scherp oog voor opkomende trends en technologieën levert ze uitgebreide berichtgeving om lezers te informeren en te betrekken bij het steeds evoluerende landschap van digitale financiën.
