Хтось щойно спустошив давно забуті неактивні гаманці Ethereum, і причина може сягати корінням у минулі роки

Сотні гаманців Ethereum, які роками залишалися недоторканими, були спустошені на одну і ту ж позначену адресу, перетворивши старе розкриття ключів на найгостріше попередження щодо безпеки криптовалют цього тижня.

30 квітня WazzCrypto повідомив про інцидент, що стосується гаманців основної мережі, на X, і їхнє попередження швидко поширилося, оскільки постраждалі акаунти не виглядали як свіжоприманені гарячі гаманці. Це були старі гаманці з тихою історією, деякі пов'язані з активами та інструментами попередньої епохи Ethereum.

Понад 260 ETH, приблизно $600,000, було виведено з сотень неактивних гаманців. Більше 500 гаманців, схоже, постраждали, а загальні збитки склали приблизно $800,000, і багато гаманців були неактивні від чотирьох до восьми років. Пов'язана адреса в Etherscan позначена як Fake_Phishing2831105 і показує 596 транзакцій, а також фіксує переміщення 324,741 ETH до THORChain Router v4.1.1 приблизно 30 квітня.

Спільне між ними наразі важливіше: гаманці, які довго не використовувалися, були переміщені до спільного місця призначення, тоді як шлях компрометації залишається невирішеним.

Цей невирішений вектор робить спустошення найсильнішим попередженням цього тижня після сплеску зламів DeFi. Експлойти протоколів зазвичай надають слідчим контракт, виклик функції або привілейовану транзакцію для перевірки.

Тут центральне питання знаходиться на рівні гаманця. Чи отримав хтось старі seed фрази, зламав слабко згенеровані ключі, використав витягнутий матеріал приватного ключа, зловжив інструментом, який колись працював з ключами, або скористався іншим шляхом, який ще не виявлено?

Публічне обговорення породило теорії, включаючи слабку ентропію у застарілих інструментах для гаманців, скомпрометовані мнемоніки, обробку ключів торговими ботами та зберігання seed фраз у LastPass. Один постраждалий користувач особисто висунув теорію про LastPass.

Практичні поради для користувачів обмежені, але терміново необхідні. Бездіяльність не знижує ризик для приватного ключа. Гаманець із цінністю залежить від повної історії ключа, seed фрази, пристрою, який його згенерував, програмного забезпечення, яке до нього доторкнулося, і кожного місця, де цей секрет міг зберігатися.

Для користувачів відповідь полягає, мабуть, у тому, щоб провести інвентаризацію старих гаманців із великою цінністю, переміщати кошти лише після налаштування свіжого ключового матеріалу через надійне апаратне забезпечення або сучасне програмне забезпечення для гаманців, а також уникати введення старих seed фраз у перевірники, скрипти або незнайомі інструменти відновлення. Відкликання дозволів допомагає при розкритті протоколу, включаючи попередження Wasabi для користувачів, але пряме спустошення гаманця вказує насамперед на безпеку ключів, а не на дозволи токенів.

Квітень розширив поверхню управління

Кластер гаманців з'явився на тлі квітневого підрахунку криптовалютних експлойтів, який вже був підвищеним. Звітність, пов'язана з DefiLlama, оцінила квітень приблизно в 28–30 інцидентів і понад $625 мільйонів викрадених коштів. Станом на 1 травня живий API DefiLlama показав 28 квітневих інцидентів на загальну суму $635,241,950.

Тред на ринку від 1 травня зафіксував точку тиску: спустошення гаманців цього тижня, експлойт адмін-ключа протоколу Wasabi та більші збитки DeFi у квітні — все це вдарило по поверхнях управління, які звичайні користувачі рідко перевіряють. Зв'язок протягом місяця є архітектурним, а не атрибутивним.

Адмін-шляхи стали шляхами атак

Wasabi Protocol надає найяскравіший нещодавній приклад протоколу. Експлойт від 30 квітня нібито виснажив приблизно від $4,5 до $5,5 мільйона після того, як зловмисник отримав повноваження деплоєра/адміна, надав ADMIN_ROLE контрактам під контролем зловмисника та використав оновлення UUPS-проксі для спустошення сховищ і пулів на Ethereum, Base і Blast. Ранні сповіщення безпеки зафіксували схему адмін-оновлення в міру розгортання атаки.

Повідомлена механіка ставить управління ключами в центр інциденту. Оновлюваність може бути нормальною інфраструктурою обслуговування. Концентрована повноваження оновлення перетворює цей шлях обслуговування на ціль з високою цінністю. Якщо один деплоєр або привілейований акаунт може змінювати логіку реалізації між чейнами, межа навколо перевіреного контракту може зникнути, щойно ці повноваження будуть скомпрометовані.

Це проблема, прихована в багатьох інтерфейсах DeFi з боку користувача. Протокол може представляти відкриті контракти, публічні фронтенди та мову децентралізації, тоді як критична повноваження оновлення все ще знаходиться в невеликому наборі операційних ключів.

Підписувачі та верифікатори несли найбільші збитки

Drift перевів ту саму проблему управління в робочий процес підписувача. Chainalysis описав соціальну інженерію, довготривалі nonce-транзакції, фіктивне забезпечення, маніпуляцію оракулами та міграцію Ради безпеки 2-з-5 з нульовим таймлоком. Blockaid оцінив збитки приблизно в $285 мільйонів і стверджував, що симуляція транзакцій і суворіші політики спільного підписання могли б змінити результат.

Справа Drift тут важлива, тому що шлях не залежав від простого публічного баґу функції. Він залежав від робочого процесу, де дійсні підписи та швидкий механізм управління могли бути спрямовані на ворожу міграцію. Процес підписувача став поверхнею управління.

KelpDAO перемістив стрес-тест у кросчейн верифікацію. В заяві про інцидент описувалася конфігурація моста, в якій маршрут rsETH використовував LayerZero Labs як єдиний DVN-верифікатор. Судово-медичні огляди описували скомпрометовані RPC-вузли та DDoS-тиск, що подавали хибні дані до одноточкового шляху верифікації.

Результатом, згідно з Chainalysis, стало вивільнення 116,500 rsETH вартістю приблизно $292 мільйони проти неіснуючого спалення. Контракт токена міг залишатися цілим, тоді як міст приймав хибну передумову. Ось чому збій верифікатора може стати проблемою ринкової структури, коли бриджований актив знаходиться у ринках кредитування та пулах ліквідності.

ШІ належить до дискусії про швидкість

Я вважаю, що Project Glasswing заслуговує на особливу згадку тут для контексту, окремо від причинності. Anthropic стверджує, що Claude Mythos Preview знайшов тисячі критичних вразливостей програмного забезпечення і показує, як ШІ може скоротити час виявлення вразливостей. Це підвищує планку для захисників, але причинний запис у цих криптовалютних інцидентах вказує на ключі, підписувачів, адмін-повноваження, верифікацію мостів, залежності RPC та невирішене розкриття гаманців.

Наслідки для безпеки все ще серйозні. Швидше виявлення дає зловмисникам і захисникам більше паралельних поверхонь для роботи. Це також робить старі операційні скорочення дорожчими, оскільки дремлячі секрети, привілейовані ключі та одноверифікаторні шляхи можуть бути перевірені швидше, ніж команди можуть перевірити їх вручну.

Список виправлень є операційним

Засоби контролю, що випливають з квітня, знаходяться над і навколо кодової бази.

Для протоколів пріоритетом є зменшення обсягу того, що будь-яка одна повноваження може зробити одночасно. Це означає таймлоки на адмін-операції, сильніші та стабільніші пороги підписувача, черги привілейованих транзакцій під моніторингом, явні обмеження на зміни параметрів та системи спільного підписання, які симулюють ефекти транзакцій до того, як люди їх затверджують.

Для мостів пріоритетом є незалежна верифікація та перевірки інваріантів. Кросчейн повідомлення має бути перевірено щодо економічного факту, який воно стверджує представляти. Якщо rsETH залишає одну сторону, система повинна перевірити відповідну зміну стану на іншій стороні, перш ніж сторона призначення вивільнить цінність. Цей моніторинг має існувати поза тим самим шляхом, який підписує повідомлення.

Для користувачів список виправлень менший. Перемістіть цінні старі кошти на свіжі ключі через процес, якому ви вже довіряєте. Відокремте цю дію від очищення дозволів, специфічних для протоколу. Ставтеся до будь-яких тверджень щодо першопричини спустошення гаманця як до попереднього, поки судово-медична робота не ідентифікує спільний інструмент, шлях зберігання або джерело розкриття.

Наступний тест

Квітень довів, що контрольний список безпеки середнього користувача, ймовірно, є неповним. Аудити, публічні контракти та децентралізовані інтерфейси можуть співіснувати з концентрованою адмін-повноваженням, слабкими процедурами підписувача, нестабільною верифікацією мостів та старими секретами гаманців.

Наступний квартал винагородить докази над мовою децентралізації: обмежені повноваження оновлення, видимі таймлоки, незалежні шляхи верифікатора, симуляція транзакцій для привілейованих дій, дисциплінований контроль доступу та задокументована ротація ключів.

Спустошення неактивних гаманців показує незручну версію тієї ж проблеми з боку користувача. Система може виглядати тихою, тоді як стара помилка управління чекає на задньому плані. Хвиля квітневих експлойтів виявила цей шар вище коду; наступна фаза покаже, які команди ставляться до нього як до основної безпеки до того, як кошти переміщуються.

The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.