Saugumo incidento tikslas – atlygio sutartis
Neseniai dėl „ZeroGravity Foundation“ saugumo pažeidimo buvo prarasta daugiau nei 520 000 0G žetonų. Incidentas įvyko gruodžio 11 d., kai užpuolikui pavyko nuimti žetonus iš konkrečios atlygio paskirstymo sutarties.
Įdomu tai, kad išnaudojimas atsirado ne dėl blokų grandinės pagrindinio kodo trūkumo. Vietoj to, tai buvo pažeistas privatus raktas, kuris padarė žalą. Raktas buvo saugomas „AliCloud“ serverio egzemplioriuje ir, matyt, kažkaip nutekėjo. Užpuolikas naudojo šį raktą, kad leistų skubiai nutraukti sutartį.
Kaip įvyko vagystė
Paėmęs žetonus, įsilaužėlis greitai perkėlė juos į kitą grandinę. Tada jie naudojo „Tornado Cash“, kad sumaišytų lėšas, o tai yra gana įprasta praktika bandant paslėpti pavogtus kriptovaliutų pėdsakus. Bendras nuostolis buvo ne tik 0G žetonai – tai apėmė apie 9,93 ETH ir 4200 USDT iš tos pačios sutarties.
Štai kažkas svarbaus, į kurį atkreipė dėmesį fondas. Nors ši atlygio sutartis nukentėjo, pagrindinė grandinės infrastruktūra išliko saugi. Naudotojų piniginės ir lėšos nebuvo paveiktos. Tai iš tikrųjų yra geras rezultatas, santykinai kalbant, kai pagalvoji, kaip paprastai vyksta šie dalykai.
Atsakymas ir kas bus toliau
Kiek galiu pasakyti, komanda sureagavo gana greitai. Jie užtaisė ne tik vieną skylę – jie peržiūrėjo visą savo saugos sąranką. Neatidėliotini veiksmai apėmė kitų pažeidžiamų sistemų apsaugą ir visų pagrindinių jų valdymo praktikų peržiūrą.
Žvelgiant į ateitį, fondas teigia, kad dirba prie daugiasluoksnės gynybos strategijos. Jie nori ne tik taisyti daiktus sugedus. Į planą įtrauktas patikimos vykdymo aplinkos diegimas siekiant geresnės raktų saugumo, o tai yra tvirtas požiūris, jei tai daroma teisingai.
Ką tai reiškia kiekvienam
Visa ši situacija rodo tai, ką anksčiau pastebėjau kriptovaliutų srityje. Didžiausia rizika dažnai nėra pačiame pagrindiniame „blockchain“ kode. Jie yra šiose periferinėse sistemose – atlygio sutartys, raktų saugykla ir panašiai. Tai, kad vartotojų lėšos buvo saugios, rodo, kad architektūra buvo tinkamai atskirta tarp skirtingų sistemos dalių.
Skaidrumas taip pat svarbus, kai tai vyksta. Tai, kaip komanda reaguoja, gali labai pakeisti žmonių požiūrį į projektą. Greitas veiksmas ir aiškus bendravimas padeda, net jei naujienos nėra puikios.
Paprastiems vartotojams tai dar vienas priminimas apie saugos pagrindus. Aparatinės įrangos piniginės, skirtos dideliam turtui, būkite atsargūs, prie ko prisijungiate, niekada nesidalykite privačiais raktais – šie dalykai vis tiek svarbūs. Projektai gali turėti geriausią pasaulyje saugumą, tačiau jei vartotojai nebus atsargūs, problemų vis tiek gali kilti.
Rinka nuspręs, kaip tai paveiks 0G ilgainiui. Trumpalaikis neapibrėžtumas yra gana normalus po tokio dalyko. Tačiau tai, kaip komanda mokosi iš incidentų ir tobulina savo sistemas, daugiau pasako apie jų ateitį nei pats incidentas.
