Кто-то только что опустошил давно забытые неактивные кошельки Ethereum, и причина может уходить корнями на несколько лет назад

Сотни кошельков Ethereum, годами остававшихся нетронутыми, были опустошены на один и тот же помеченный адрес, превратив старую утечку ключей в самое острое предупреждение о крипто-безопасности этой недели.

30 апреля WazzCrypto сообщил об инциденте, затронувшем кошельки основной сети, на X, и их предупреждение быстро распространилось, поскольку пострадавшие аккаунты не выглядели как свежеприманенные горячие кошельки. Это были старые кошельки с тихой историей, некоторые из которых были связаны с активами и инструментами более ранней эпохи Ethereum.

Более 260 ETH, примерно 600 000$, было выведено из сотен неактивных кошельков. По всей видимости, пострадало более 500 кошельков, а общие потери составили около 800 000$, при этом многие кошельки не использовались от четырёх до восьми лет. Связанный адрес Etherscan помечен как Fake_Phishing2831105, содержит 596 транзакций и фиксирует перемещение 324,741 ETH на THORChain Router v4.1.1 в период около 30 апреля.

Общий знаменатель между ними сейчас важнее всего: давно неактивные кошельки были перемещены в одно общее место назначения, тогда как путь компрометации остаётся неустановленным.

Этот неразрешённый вектор делает данный случай опустошения самым серьёзным предупреждением этой недели на фоне роста взломов DeFi. Эксплойты протоколов обычно предоставляют следователям контракт, вызов функции или привилегированную транзакцию для анализа.

Здесь центральный вопрос находится на уровне кошелька. Кто-то получил старые мнемонические слова, взломал слабо сгенерированные ключи, использовал утёкший материал приватного ключа, злоупотребил инструментом, который когда-то работал с ключами, или воспользовался другим путём, который ещё не обнаружен?

В публичных обсуждениях появились теории, включающие слабую энтропию в устаревших инструментах для кошельков, скомпрометированные мнемонические фразы, обработку ключей торговыми ботами и хранение мнемонических слов в эпоху LastPass. Один из пострадавших пользователей лично выдвинул теорию LastPass.

Практические советы для пользователей ограничены, но срочны. Бездействие не снижает риск утечки приватного ключа. Кошелёк с ценностью зависит от полной истории ключа, мнемонического слова, устройства, которое его сгенерировало, программного обеспечения, которое с ним работало, и каждого места, где этот секрет мог храниться.

Для пользователей ответной мерой, вероятно, будет инвентаризация ценных старых кошельков, перемещение средств только после создания нового материала ключей через доверенное аппаратное обеспечение или современное программное обеспечение для кошельков, а также отказ от ввода старых мнемонических фраз в чекеры, скрипты или незнакомые инструменты восстановления. Отзыв разрешений помогает при раскрытии протокола, включая предупреждение пользователей Wasabi, но прямое опустошение кошелька в первую очередь указывает на безопасность ключей, а не на разрешения токенов.

Апрель расширил поверхность атаки

Кластер кошельков появился на фоне уже повышенного апрельского счётчика крипто-эксплойтов. Отчёты, связанные с DefiLlama, оценили апрель примерно в 28–30 инцидентов и более 625 000 000$ украденных средств. По состоянию на 1 мая живой API DefiLlama показал 28 апрельских инцидентов на общую сумму 635 241 950$.

Обсуждение на рынке 1 мая обозначило точку давления: опустошение кошельков этой недели, эксплойт admin-ключа протокола Wasabi и более крупные потери DeFi апреля — всё это затронуло поверхности управления, которые обычные пользователи редко проверяют. Связь на протяжении месяца носит архитектурный, а не атрибутивный характер.

Пути администратора стали путями атаки

Wasabi Protocol предоставляет наиболее наглядный недавний пример протокола. Эксплойт 30 апреля, по имеющимся данным, опустошил около 4 500 000–5 500 000$ после того, как злоумышленник получил полномочия деплойера/администратора, предоставил ADMIN_ROLE контрактам под контролем злоумышленника и использовал прокси-обновления UUPS для опустошения хранилищ и пулов в Ethereum, Base и Blast. Ранние предупреждения безопасности указали на паттерн admin-обновления по мере развёртывания атаки.

Описанная механика ставит управление ключами в центр инцидента. Возможность обновления может быть обычной инфраструктурой обслуживания. Концентрированные полномочия обновления превращают этот путь обслуживания в высокоценную цель. Если один деплойер или привилегированный аккаунт может изменить логику реализации в разных цепочках, граница вокруг проверенного контракта может исчезнуть, как только эти полномочия будут скомпрометированы.

Это скрытая проблема, с которой сталкиваются пользователи внутри многих DeFi-интерфейсов. Протокол может представлять открытые контракты, публичные фронтенды и язык децентрализации, тогда как критическая возможность обновления по-прежнему сосредоточена в небольшом наборе операционных ключей.

Подписанты и верификаторы понесли наибольшие потери

Drift перенёс ту же проблему управления в рабочий процесс подписанта. Chainalysis описала социальную инженерию, долговременные nonce-транзакции, фиктивное обеспечение, манипуляцию оракулом и миграцию Совета безопасности 2-из-5 с нулевым таймлоком. Blockaid оценил потери примерно в 285 000 000$ и утверждал, что симуляция транзакций и более строгие политики совместного подписания могли изменить исход.

Случай Drift важен здесь, потому что путь не зависел от простого бага публичной функции. Он зависел от рабочего процесса, где действительные подписи и быстрый механизм управления могли быть направлены на враждебную миграцию. Процесс подписанта стал поверхностью управления.

KelpDAO перенёс стресс-тест в кросс-чейн верификацию. В заявлении об инциденте описана конфигурация моста, в которой маршрут rsETH использовал LayerZero Labs в качестве единственного DVN-верификатора. Криминалистические проверки описали скомпрометированные RPC-узлы и DDoS-давление, передающее ложные данные на путь верификации с единственной точкой.

Результатом, по данным Chainalysis, стало высвобождение 116 500 rsETH стоимостью около 292 000 000$ в счёт несуществующего сжигания. Контракт токена мог оставаться нетронутым, пока мост принимал ложную предпосылку. Именно поэтому сбой верификатора может стать проблемой рыночной структуры, когда перебросанный актив оказывается внутри кредитных рынков и пулов ликвидности.

ИИ относится к дискуссии о скорости

Я считаю, что Project Glasswing заслуживает особого упоминания здесь для контекста, отдельно от причинно-следственных связей. Anthropic сообщает, что Claude Mythos Preview обнаружил тысячи программных уязвимостей высокой степени серьёзности и демонстрирует, как ИИ может ускорить обнаружение уязвимостей. Это повышает планку для защитников, но причинно-следственная картина в этих крипто-инцидентах указывает на ключи, подписантов, полномочия администратора, верификацию мостов, зависимости от RPC и неразрешённую уязвимость кошельков.

Последствия для безопасности по-прежнему серьёзны. Более быстрое обнаружение даёт злоумышленникам и защитникам больше параллельных поверхностей для работы. Это также делает старые операционные shortcuts более дорогостоящими, поскольку дремлющие секреты, привилегированные ключи и пути с единственным верификатором можно тестировать быстрее, чем команды успевают проверить их вручную.

Список мер по устранению носит операционный характер

Меры контроля, вытекающие из апрельских событий, находятся выше и вокруг кодовой базы.

Для протоколов приоритет — сократить объём действий, которые любой отдельный орган может выполнить единовременно. Это означает таймлоки на административные операции, более сильные и стабильные пороги подписантов, мониторинг очередей привилегированных транзакций, явные ограничения на изменения параметров и системы совместного подписания, которые симулируют эффекты транзакций до того, как люди их одобряют.

Для мостов приоритет — независимая верификация и проверки инвариантов. Кросс-чейн сообщение должно проверяться по экономическому факту, который оно претендует представлять. Если rsETH уходит с одной стороны, система должна верифицировать соответствующее изменение состояния на другой стороне, прежде чем сторона назначения высвободит ценность. Этот мониторинг должен существовать вне того же пути, который подписывает сообщение.

Для пользователей список мер по устранению меньше. Переместите ценные старые средства на новые ключи через процесс, которому вы уже доверяете. Отделите это действие от очистки разрешений, специфичных для протокола. Считайте каждое утверждение о первопричине опустошения кошелька предварительным, пока криминалистическая работа не установит общий инструмент, путь хранения или источник утечки.

Следующее испытание

Апрель доказал, что контрольный список безопасности среднего пользователя, вероятно, неполон. Аудиты, публичные контракты и децентрализованные интерфейсы могут сосуществовать с концентрированными полномочиями администратора, слабыми процедурами подписантов, хрупкой верификацией мостов и старыми секретами кошельков.

Следующий квартал вознаградит доказательства, а не язык децентрализации: ограниченные возможности обновления, видимые таймлоки, независимые пути верификаторов, симуляция транзакций для привилегированных действий, дисциплинированный контроль доступа и задокументированная ротация ключей.

Опустошение неактивных кошельков демонстрирует неудобную пользовательскую версию той же проблемы. Система может выглядеть тихой, пока старый сбой управления ждёт в фоновом режиме. Волна эксплойтов апреля обнажила этот слой выше кода; следующая фаза покажет, какие команды относятся к нему как к основной безопасности до того, как средства будут перемещены.

The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.