Pavogtos lėšos patenka į privatumo maišytuvą
Pasak blokų grandinės saugos įmonės CertiK, beveik 6,2 mln. USD iš „SagaEVM“ išnaudojimo buvo perkelta į „Tornado Cash“. Šią taktiką dažniausiai naudoja įsilaužėliai, kai nori nuslėpti sandorių pėdsakus ir apsunkinti lėšų atkūrimą, galbūt net neįmanomą.
Išnaudojimas įvyko sausio 21 d., nukreiptas į tai, ką Saga apibūdina kaip „L1 paleisti L1“. Patvirtinus ataką, komanda pristabdė „SagaEVM“ grandininį bloką, esantį bloko aukštyje 6593800. Jie teigė, kad vyksta sušvelninimo veiksmai ir jie sutelkė dėmesį į sprendimo paiešką.
Kaip buvo perkeltos lėšos
CertiK ataskaita rodo, kad užpuolikai pirmiausia paskirstė pavogtą turtą penkiose atskirose piniginėse. Tada jie viską perkėlė į „Tornado Cash“ per kelis sandorius. Bendra pavogta suma siekė beveik 7 mln. USD įvairaus turto – USDC, yUSD, ETH ir tBTC – visa tai buvo perkelta į „Ethereum“ pagrindinį tinklą.
Išnaudotojo piniginė buvo identifikuota ir pasidalinta su biržomis bei tiltais, kad būtų įtrauktas į juodąjį sąrašą. Tačiau privatumo maišyklėje dabar yra 6,2 mln. USD, todėl atkūrimo pastangos susiduria su rimtais iššūkiais. „Tornado Cash“ daro būtent tai, kam buvo sukurta: padėti lėšos išnyksta.
Kas nutiko išnaudojimo metu
Remiantis sausio 21 d. paskelbtu pomirtiniu tyrimu, incidentas buvo susijęs su suderintu sutarčių diegimu, veikla tarp grandinių ir vėlesnio likvidumo panaikinimo. Tyrimo metu komanda pristabdė grandinę iš atsargumo.
Jų tikslas buvo sustabdyti tolesnį poveikį, laikydamas „SagaEVM“ pristabdytą, patvirtindamas visą apimtį naudojant archyvo duomenis ir vykdymo pėdsakus bei sugriežtindamas atitinkamus komponentus prieš paleidžiant iš naujo. Pagrindiniai paveikti komponentai buvo „SagaEVM“ grandinėlė, „Colt“ ir „Mustang“. Kitos dalys, pvz., „Saga SSC“ pagrindinis tinklas, protokolo sutarimas, patvirtinimo saugumas ir kitos grandinės, nebuvo paliestos.
„Nebuvo konsensuso gedimo, patvirtinimo kompromiso ar pasirašančiojo rakto nutekėjimo“, – teigiama dokumente. „Platesnis Saga tinklas išlieka struktūriškai patikimas.
Pagrindinė priežastis ir tolesni veiksmai
Remdamasi „Cosmos Labs“ inžinieriais, komanda atskleidė problemą iki pradinės „Ethermint“ kodų bazės. Taigi tai buvo paveldėtas pažeidžiamumas, o ne kažkas naujo.
„Cosmos Labs“ pripažino įvykį, sakydama, kad glaudžiai bendradarbiauja su „Saga“ ir išorės saugumo partneriais, kad ištirtų ir pašalintų patvirtintą pažeidžiamumą. Jie susisiekė su EVM grandinėmis, kurios, jų manymu, buvo paveiktos, ir suteikė trumpalaikes švelninimo priemones.
„Kaip visada, mes rekomenduojame visuose projektuose ir toliau diegti pradines saugumo praktikas, tokias kaip normos ribojimas ir saugumo stebėjimas, siekiant sustiprinti ankstyvą aptikimą ir sušvelninimą“, – rašė jie X.
„Saga“ komanda teigia, kad kiti jų žingsniai apima pagrindinės priežasties patvirtinimą, paveiktų kryžminių grandinių ir diegimo komponentų pataisymą ir sutvirtinimą, koordinavimą su ekosistemų partneriais ir išsamesnio techninio postmortem paskelbimą.
Tuo tarpu naujausias indėlis papildo sudėtingą „Tornado Cash“ istoriją – įrankį su teisėtu privatumo naudojimu, kuris taip pat tapo mėgstamu įsilaužėlių, bandančių išplauti pavogtas lėšas po išnaudojimų.
