EMURGO, một đơn vị đồng sáng lập của blockchain Cardano, hôm thứ Bảy thông báo đã xác định được giải pháp khôi phục cho người dùng ví SecondFi của mình, sau một vụ khai thác đã rút khoảng 2,4 triệu USD trị giá ADA từ ngày 21 đến 23 tháng 6. CEO Phillip Pon cho biết công ty đã hoàn tất điều tra pháp y và xác nhận số dư ví, đặt ra lộ trình hai tuần để hoàn trả tiền — một tuần xây dựng cơ chế khôi phục và tuần thứ hai để kiểm tra. Vụ vi phạm ảnh hưởng đến 374 địa chỉ và bắt nguồn từ lỗi cấp địa chỉ trong phần mềm tạo ví mà công ty mô tả, làm lộ khóa riêng tư của người dùng. EMURGO là một trong ba tổ chức sáng lập của mạng Cardano, và SecondFi là phiên bản đổi thương hiệu của ví Yoroi ra mắt vào tháng 4.
Trong một tuyên bố đăng trên X, Pon yêu cầu người dùng bị ảnh hưởng không di chuyển tiền hoặc thực hiện các bước ngoài hướng dẫn chính thức của SecondFi, cho biết việc khôi phục đang được xây dựng dựa trên trạng thái hiện tại của các ví bị xâm phạm. Ông nói thêm rằng chưa có bước nào yêu cầu sự tham gia của người dùng được bắt đầu, và SecondFi sẽ không bao giờ yêu cầu khóa riêng tư, cụm từ hạt giống (seed phrase) hoặc quyền truy cập ví. Bài đăng thứ Bảy là lần đầu tiên công ty đưa ra lộ trình cụ thể cho việc khôi phục. Công ty vẫn chưa công bố báo cáo kỹ thuật đầy đủ, đưa ra số tiền khôi phục cho từng người dùng hoặc chi tiết cách người dùng sẽ yêu cầu nhận tiền.
SecondFi Ghi Nhận 2,4 Triệu USD Bị Rút Khỏi 374 Địa Chỉ Trong Khoảng 21-23 Tháng 6
SecondFi mô tả bốn sự kiện rút tiền từ ví từ ngày 21 đến 23 tháng 6. Ba sự kiện do kẻ tấn công bên ngoài thực hiện, đã lấy khoảng 16 triệu ADA, trị giá khoảng 2,4 triệu USD vào thời điểm đó, từ 374 địa chỉ. Trong sự kiện thứ tư, SecondFi cho biết đã chuyển khoảng 129 triệu ADA đến một đơn vị lưu ký bên thứ ba độc lập như một biện pháp khẩn cấp để giữ tiền tránh xa kẻ tấn công. Công ty cho biết đã thuê một công ty kế toán bên ngoài để xác minh số tài sản đó và người dùng bị ảnh hưởng có thể nộp yêu cầu thông qua trang hỗ trợ của họ.
Công ty cho biết đã xác định được hai ví của kẻ tấn công, một ví rút 171 ví và ví kia rút 203 ví, và khoảng 4 triệu ADA liên quan đến vụ trộm đang nằm trong một địa chỉ thu thập được đánh dấu đang bị giám sát. Công ty cho biết đã thông báo cho cơ quan thực thi pháp luật.
Tibane Labs Cho Rằng Vụ Vi Phạm Do SDK Chưa Được Kiểm Toán Triển Khai Ngày 8 Tháng 6
SecondFi đã đổ lỗi cho lỗi cấp địa chỉ trong phần mềm tạo ví của mình làm lộ khóa riêng tư của người dùng. Họ đã cảnh báo rằng việc khôi phục một cụm từ khôi phục bị ảnh hưởng trong một ví khác không loại bỏ rủi ro, vì sự lộ thông tin được kích hoạt khi một địa chỉ bị xâm phạm ký một giao dịch.
Tibane Labs đã công bố báo cáo pháp y về vụ việc vào thứ Bảy. Tibane Labs đang phát triển ví riêng của mình và những phát hiện của họ khớp với các tuyên bố công khai trước đó trên X của Mark Karpelès, cựu CEO Mt. Gox hiện là thành viên của nhóm đó, nghĩa là phân tích của họ đến từ một bên cạnh tranh.
Tibane cho biết vụ vi phạm không phải do sử dụng lại nonce, mà là lỗi ký Ed25519. Theo báo cáo, bộ ký của ví đã bỏ qua bí mật riêng cho mỗi khóa (per-key secret) mà tiêu chuẩn trộn vào mỗi chữ ký, do đó giá trị được cho là bí mật được tính toán chỉ từ dữ liệu giao dịch công khai. Điều này khiến nó có thể suy ra bởi bất kỳ ai và chỉ cần một chữ ký duy nhất là đủ để tái tạo khóa riêng tư, không cần giao dịch thứ hai hoặc tấn công thống kê.
Tibane cho biết bộ ký dễ bị tấn công là một SDK thử nghiệm chưa được kiểm toán có tên trantor, được một nhà phát triển độc lập xuất bản lên npm, đã thay thế bản build đã được kiểm toán trước đó của EMURGO vào ngày 8 tháng 6. Chữ ký bị xâm phạm đầu tiên xuất hiện trên chuỗi cùng ngày hôm đó, theo báo cáo. Tibane cho biết thư viện mật mã cơ bản là an toàn và lỗi nằm ở cách ví kết nối khóa với nó, khiến tài liệu nonce bí mật không được thiết lập. Họ cho biết đã dịch ngược bản build Android đã ký, đối chiếu với mã trantor và khôi phục khóa riêng tư của nạn nhân từ các chữ ký lịch sử để xác nhận cơ chế.
EMURGO chưa công bố báo cáo kỹ thuật và chưa công khai phản hồi về việc Tibane quy kết cho một SDK bên thứ ba. Riêng biệt, nhà nghiên cứu bảo mật Taylor Monahan tuần này cho biết SecondFi "đã tự xây dựng crypto của riêng mình" và phần mềm này là mã nguồn đóng và chưa được kiểm toán.
EMURGO Đối Mặt Với Câu Hỏi Về Quản Trị Do Triển Khai Mã Chưa Kiểm Toán
Yoroi từng là ví nhẹ chính của Cardano trong nhiều năm trước khi đổi thương hiệu thành SecondFi vào tháng 4, và EMURGO là một trong ba tổ chức sáng lập của mạng lưới. Tibane xem sự kiện này ít là lỗi mã hóa hơn là thất bại quản trị, cho rằng một thực thể sáng lập đã triển khai mã chưa được kiểm toán vào sản xuất thay cho bản build đã kiểm toán, mà không có đánh giá độc lập hay bài kiểm tra nào có thể phát hiện ra lỗi.
Theo đánh giá của Tibane, chỉ các chữ ký được thực hiện từ ngày 8 tháng 6 trở đi mới bị lộ, và các giao dịch được ký trước ngày đó sử dụng triển khai đã được kiểm toán.
FAQ
Điều gì đã xảy ra với người dùng ví SecondFi từ ngày 21 đến 23 tháng 6?
Các kẻ tấn công bên ngoài đã rút khoảng 2,4 triệu USD trị giá ADA từ 374 địa chỉ trong ba sự kiện riêng biệt. EMURGO đã chuyển thêm 129 triệu ADA đến một đơn vị lưu ký bên thứ ba như một biện pháp khẩn cấp.
Khi nào EMURGO công bố lộ trình hoàn trả tiền?
CEO EMURGO Phillip Pon đã thông báo vào thứ Bảy rằng công ty đã xác định được giải pháp khôi phục và đặt lộ trình hai tuần — một tuần xây dựng cơ chế khôi phục và tuần thứ hai để kiểm tra trước khi bắt đầu hoàn trả.
Theo Tibane Labs, nguyên nhân gây ra vụ khai thác ví SecondFi là gì?
Tibane Labs cho rằng vụ vi phạm là do lỗi ký Ed25519 trong một SDK chưa được kiểm toán tên là trantor, đã thay thế bản build đã kiểm toán của EMURGO vào ngày 8 tháng 6. Báo cáo cho biết bộ ký dễ bị tấn công đã bỏ qua tài liệu bí mật riêng cho mỗi khóa, cho phép khóa riêng tư được tái tạo từ một chữ ký duy nhất.
