EMURGO, сооснователь блокчейна Cardano, объявил в субботу, что нашел решение для восстановления средств пользователей кошелька SecondFi после эксплойта, в ходе которого с 21 по 23 июня было выведено около 2,4 миллиона долларов в ADA. Генеральный директор Филипп Пон заявил, что компания завершила криминалистическое расследование и подтвердила балансы кошельков, установив двухнедельный срок для возврата средств — одну неделю на создание механизма восстановления и вторую на его тестирование. Инцидент затронул 374 адреса и был вызван, по словам компании, ошибкой на уровне адресов в программном обеспечении для генерации кошельков, которая раскрыла приватные ключи пользователей. EMURGO — одна из трех организаций-основателей сети Cardano, а SecondFi — переименованная версия кошелька Yoroi, запущенная в апреле.
В заявлении, опубликованном в X, Пон попросил пострадавших пользователей не перемещать средства и не предпринимать шаги, не предусмотренные официальными рекомендациями SecondFi, отметив, что восстановление строится на основе текущего состояния скомпрометированных кошельков. Он добавил, что никаких действий, требующих участия пользователей, еще не началось, и что SecondFi никогда не будет запрашивать приватные ключи, сид-фразы или доступ к кошелькам. Субботний пост — это первый раз, когда компания привязала к восстановлению конкретные сроки. Она еще не опубликовала полный технический отчет, не указала суммы возмещения для каждого пользователя и не описала порядок получения средств.
SecondFi фиксирует утечку на 2,4 миллиона долларов с 374 адресов 21–23 июня
SecondFi описала четыре события вывода средств, произошедших с 21 по 23 июня. Три из них были совершены внешними злоумышленниками, которые вывели около 16 миллионов ADA (примерно 2,4 миллиона долларов на тот момент) с 374 адресов. В ходе четвертого события SecondFi переместила около 129 миллионов ADA к независимому стороннему кастодиану в качестве экстренной меры, чтобы уберечь средства от злоумышленников. Компания сообщила, что для проверки этих активов привлечена внешняя аудиторская фирма, а пострадавшие пользователи могут подать заявки через сайт поддержки.
Компания заявила, что идентифицировала два кошелька злоумышленников: один вывел средства с 171 кошелька, другой — с 203. Около 4 миллионов ADA, связанных с кражей, находятся на помеченном сборном адресе под наблюдением. Компания также сообщила, что уведомила правоохранительные органы.
Tibane Labs связывает взлом с неаудированным SDK, развернутым 8 июня
SecondFi возложила вину на ошибку на уровне адресов в своем ПО для генерации кошельков, которая раскрыла приватные ключи пользователей. Компания предупредила, что восстановление скомпрометированной фразы восстановления в другом кошельке не устраняет риск, поскольку уязвимость срабатывает, когда скомпрометированный адрес подписывает транзакцию.
Tibane Labs опубликовала в субботу отчет о криминалистическом анализе инцидента. Tibane Labs разрабатывает собственный кошелек, и ее выводы совпадают с публичными заявлениями, сделанными ранее в X Марком Карпелесом, бывшим генеральным директором Mt. Gox, который входит в эту команду. Таким образом, анализ исходит от конкурирующей стороны.
Tibane сообщила, что взрыв был вызван не повторным использованием одноразового номера (nonce), а ошибкой подписи Ed25519. Согласно отчету, подписант кошелька отбрасывал секретную величину для каждого ключа, которую стандарт смешивает с каждой подписью, так что значение, которое предполагалось секретным, вычислялось только из публичных данных транзакции. Это делало его доступным для вычисления любым желающим и позволяло восстановить приватный ключ по одной единственной подписи без необходимости второй транзакции или статистической атаки.
Tibane сообщила, что уязвимый подписант представлял собой экспериментальный, неаудированный SDK под названием trantor, опубликованный на npm независимым разработчиком, который 8 июня заменил ранее выпущенную и аудированную сборку EMURGO. Согласно отчету, первая скомпрометированная подпись появляется в сети в тот же день. Tibane заявила, что базовая криптографическая библиотека была корректна, а ошибка заключалась в том, как кошелек подключал к ней ключ, оставляя секретный одноразовый материал (nonce) неустановленным. Компания сообщила, что декомпилировала собранную версию для Android, сопоставила ее с кодом trantor и восстановила приватные ключи жертв из исторических подписей, чтобы подтвердить механизм.
EMURGO не опубликовала технический отчет и не высказалась публично по поводу утверждений Tibane о стороннем SDK. Отдельно исследователь безопасности Тейлор Монахан на этой неделе заявил, что SecondFi "изобрела собственную криптографию", а программное обеспечение было закрытым и неаудированным.
EMURGO сталкивается с вопросами управления из-за развертывания неаудированного кода
Yoroi был основным облегченным кошельком Cardano в течение многих лет до ребрендинга в SecondFi в апреле, а EMURGO является одной из трех организаций-основателей сети. Tibane представила этот эпизод не столько как ошибку кодирования, сколько как сбой управления, утверждая, что организация-основатель выпустила в продакшн неаудированный код вместо аудированной сборки, без независимой проверки или теста, который мог бы выявить ошибку.
По оценке Tibane, уязвимы только подписи, созданные начиная с 8 июня; транзакции, подписанные до этой даты, использовали аудированную реализацию.
FAQ
Что произошло с пользователями кошелька SecondFi с 21 по 23 июня?
Внешние злоумышленники вывели примерно 2,4 миллиона долларов в ADA с 374 адресов в ходе трех отдельных событий. EMURGO дополнительно переместила 129 миллионов ADA к стороннему кастодиану в качестве экстренной меры.
Когда EMURGO объявила сроки возврата средств?
Генеральный директор EMURGO Филипп Пон объявил в субботу, что компания нашла решение для восстановления и установила двухнедельный срок — одну неделю на создание механизма восстановления и вторую на его тестирование перед началом возврата.
Что, по мнению Tibane Labs, стало причиной эксплойта кошелька SecondFi?
Tibane Labs объяснила взлом ошибкой подписи Ed25519 в неаудированном SDK под названием trantor, который 8 июня заменил аудированную сборку EMURGO. В отчете говорится, что уязвимый подписант отбрасывал секретный материал для каждого ключа, что позволяло восстановить приватные ключи из одной единственной подписи.
