Cineva tocmai a golit portofele Ethereum dormante, uitate de mult, iar cauza ar putea fi identificată cu ani în urmă

Sute de portofele Ethereum care stătuseră neatinse ani de zile au fost golite în aceeași adresă etichetată, transformând expunerea veche a cheilor în cel mai sever avertisment de securitate cripto al acestei săptămâni.

Pe 30 apr., WazzCrypto a semnalat incidentul care afectează portofelele mainnet pe X, iar avertismentul lor s-a răspândit rapid deoarece conturile afectate nu păreau să fie portofele hot proaspăt momite. Erau portofele vechi cu istorii liniștite, unele legate de active și instrumente dintr-o eră Ethereum anterioară.

Peste 260 ETH, aproximativ 600.000 de dolari, au fost golite din sute de portofele inactive. Peste 500 de portofele par a fi afectate, cu pierderi totalizând aproximativ 800.000 de dolari, iar multe portofele au fost inactive timp de patru până la opt ani. Adresa Etherscan aferentă este etichetată Fake_Phishing2831105 și afișează 596 de tranzacții, înregistrând o mișcare de 324,741 ETH către THORChain Router v4.1.1 în jurul ferestrei de timp din 30 apr.

Constanta dintre ele este mai importantă acum: portofelele inactive de mult timp au fost mutate către o destinație comună, în timp ce calea de compromitere rămâne nerezolvată.

Acel vector nerezolvat face din această golire cel mai puternic avertisment al săptămânii, în urma unui val de atacuri DeFi. Exploatările de protocol oferă de obicei investigatorilor un contract, un apel de funcție sau o tranzacție privilegiată de inspectat.

Aici, întrebarea centrală se află la nivelul portofelului. A obținut cineva fraze seed vechi, a spart chei generate slab, a folosit material de cheie privată scurs, a abuzat de un instrument care a gestionat odată cheile sau a exploatat o altă cale care nu a ieșit încă la suprafață?

Discuțiile publice au generat teorii incluzând entropie slabă în instrumentele de portofele vechi, mnemotehnice compromise, gestionarea cheilor de boți de tranzacționare și stocarea seed-urilor din era LastPass. Un utilizator afectat a ridicat personal teoria LastPass.

Sfatul practic pentru utilizatori este limitat, dar urgent. Inactivitatea nu atenuează riscul cheii private. Un portofel cu valoare depinde de întregul istoric al cheii, de fraza seed, de dispozitivul care a generat-o, de software-ul care a atins-o și de fiecare loc în care acel secret ar fi putut fi stocat.

Pentru utilizatori, răspunsul este probabil să inventarieze portofelele vechi de mare valoare, să mute fondurile doar după configurarea unui material de cheie proaspăt prin hardware de încredere sau software modern de portofele și să evite introducerea seed-urilor vechi în instrumente de verificare, scripturi sau instrumente de recuperare necunoscute. Revocarea aprobărilor ajută pentru expunerea la protocol, inclusiv avertismentul utilizatorilor Wasabi, dar o golire directă a portofelului indică mai întâi securitatea cheilor, nu aprobările de tokenuri.

Aprilie a extins suprafața de control

Grupul de portofele a apărut în mijlocul bilanțului exploatărilor cripto din aprilie, care era deja ridicat. Raportările legate de DefiLlama au plasat aprilie la aproximativ 28 până la 30 de incidente și peste 625 de milioane de dolari în fonduri furate. La 1 mai, API-ul live DefiLlama arăta 28 de incidente din aprilie totalizând 635.241.950 de dolari.

Un thread de piață din 1 mai a surprins punctul de presiune: golirile de portofele din această săptămână, exploatarea cheii de administrator a Wasabi Protocol și pierderile DeFi mai mari din aprilie au lovit toate suprafețe de control pe care utilizatorii obișnuiți le inspectează rareori. Legătura de-a lungul lunii este arhitecturală, nu atribuțională.

Căile de administrator au devenit căi de atac

Wasabi Protocol oferă cel mai clar exemplu recent de protocol. Exploatarea din 30 apr. a golit în mod raportat aproximativ 4,5 până la 5,5 milioane de dolari după ce un atacator a obținut autoritate de deployer/admin, a acordat ADMIN_ROLE contractelor controlate de atacator și a folosit upgrade-uri proxy UUPS pentru a goli vault-uri și pool-uri pe Ethereum, Base și Blast. Alertele de securitate timpurii au semnalat tiparul admin-upgrade pe măsură ce atacul se desfășura.

Mecanismele raportate plasează gestionarea cheilor în centrul incidentului. Posibilitatea de upgrade poate fi o infrastructură normală de întreținere. Autoritatea de upgrade concentrată transformă acea cale de întreținere într-o țintă de mare valoare. Dacă un singur deployer sau cont privilegiat poate schimba logica de implementare pe mai multe lanțuri, granița în jurul unui contract auditat poate dispărea odată ce acea autoritate este compromisă.

Aceasta este problema orientată spre utilizator ascunsă în multe interfețe DeFi. Un protocol poate prezenta contracte deschise, front-end-uri publice și limbaj de descentralizare, în timp ce puterea critică de upgrade rămâne într-un set mic de chei operaționale.

Semnatarii și verificatorii au suportat cele mai mari pierderi

Drift a împins aceeași problemă de control în fluxul de lucru al semnatarilor. Chainalysis a descris inginerie socială, tranzacții cu nonce durabil, colateral fals, manipularea oracolului și o migrare a Consiliului de Securitate 2-din-5 fără timelock. Blockaid a estimat pierderea la aproximativ 285 de milioane de dolari și a argumentat că simularea tranzacțiilor și politici mai stricte de co-semnare ar fi putut schimba rezultatul.

Cazul Drift contează aici deoarece calea nu a depins de un simplu bug de funcție publică. A depins de un flux de lucru în care semnăturile valide și mașinăria rapidă de guvernanță puteau fi orientate spre o migrare ostilă. Un proces de semnare a devenit suprafața de control.

KelpDAO a mutat testul de stres în verificarea cross-chain. Declarația incidentului a descris o configurație de bridge în care ruta rsETH folosea LayerZero Labs ca singurul verificator DVN. Revizuirile criminalistice au descris noduri RPC compromise și presiunea DDoS care alimentau date false către o cale de verificare cu un singur punct.

Rezultatul, conform Chainalysis, a fost 116.500 rsETH, în valoare de aproximativ 292 de milioane de dolari, eliberate împotriva unei arderi inexistente. Contractul de token putea rămâne intact în timp ce bridge-ul accepta o premisă falsă. De aceea un eșec al verificatorului poate deveni o problemă de structură a pieței odată ce activul bridged se află în piețele de creditare și pool-urile de lichiditate.

AI aparține discuției despre viteză

Cred că Project Glasswing merită o mențiune specială aici pentru context, separat de cauzalitate. Anthropic spune că Claude Mythos Preview a găsit mii de vulnerabilități software de severitate ridicată și arată cum AI poate comprima descoperirea vulnerabilităților. Aceasta ridică ștacheta pentru apărători, dar înregistrarea cauzală în aceste incidente cripto indică cheile, semnatarii, puterile de administrator, verificarea bridge-ului, dependențele RPC și expunerea nerezolvată a portofelelor.

Implicațiile de securitate sunt în continuare serioase. Descoperirea mai rapidă oferă atacatorilor și apărătorilor mai multă suprafață paralelă de parcurs. De asemenea, face vechile scurtături operaționale mai costisitoare deoarece secretele inactive, cheile privilegiate și căile cu un singur verificator pot fi testate mai rapid decât echipele le pot revizui manual.

Lista de reparații este operațională

Controalele care urmează din aprilie se află deasupra și în jurul codului sursă.

Pentru protocoale, prioritatea este reducerea a ceea ce o singură autoritate poate face simultan. Aceasta înseamnă timelock-uri pe operațiunile de administrator, praguri mai puternice și mai stabile pentru semnatari, cozi de tranzacții privilegiate monitorizate, limite explicite pentru modificările de parametri și sisteme de co-semnare care simulează efectele tranzacțiilor înainte ca oamenii să le aprobe.

Pentru bridge-uri, prioritatea este verificarea independentă și verificările invarianților. Un mesaj cross-chain ar trebui testat față de faptul economic pe care pretinde că îl reprezintă. Dacă rsETH părăsește o parte, sistemul ar trebui să verifice schimbarea de stare corespunzătoare pe cealaltă parte înainte ca partea de destinație să elibereze valoare. Acea monitorizare trebuie să existe în afara aceleiași căi care semnează mesajul.

Pentru utilizatori, lista de reparații este mai mică. Mutați fondurile vechi valoroase la chei noi printr-un proces în care deja aveți încredere. Separați acea acțiune de curățarea aprobărilor specifice protocolului. Tratați orice afirmație despre cauza principală a golirii portofelului ca provizorie până când munca criminalistică identifică un instrument comun, o cale de stocare sau o sursă de expunere.

Următorul test

Aprilie a dovedit că lista de verificare a securității utilizatorului mediu este probabil incompletă. Auditurile, contractele publice și interfețele descentralizate pot coexista cu autoritate de administrator concentrată, proceduri slabe ale semnatarilor, verificare fragilă a bridge-ului și secrete vechi de portofele.

Următorul trimestru va recompensa dovezile față de limbajul de descentralizare: puteri de upgrade constrânse, timelock-uri vizibile, căi independente de verificare, simularea tranzacțiilor pentru acțiuni privilegiate, controale de acces disciplinate și rotirea documentată a cheilor.

Golirile portofelelor inactive arată versiunea incomodă din partea utilizatorului a aceleiași probleme. Un sistem poate părea liniștit în timp ce un vechi eșec de control așteaptă în fundal. Valul de exploatări din aprilie a expus acel strat deasupra codului; următoarea fază va arăta care echipe îl tratează ca securitate de bază înainte ca fondurile să se miște.

Articolul Cineva tocmai a golit portofele Ethereum inactive uitate de mult, iar cauza poate fi trasată înapoi cu ani a apărut prima dată pe CryptoSlate.