Cardano-oprichter Charles Hoskinson zegt dat de blockchain niet is gehackt. Het SecondFi-portefeuillelek is het gevolg van aangepaste closed-source code, zegt hij.
De kop schreef zichzelf: Cardano is gehackt. Behalve dat het niet zo was. Charles Hoskinson zei dat op 24 juni, uitzendend vanuit Colorado in wat hij omschreef als een late-night sessie waarin hij code uit elkaar haalde die hij niet had hoeven uit elkaar te halen.
SecondFi, de portefeuille voorheen bekend als Yoroi, meldde een beveiligingsincident dat verband houdt met de eigen webportefeuillegeneratiesoftware. Rapporten die eerder deze week circuleerden, schatten de verliezen op ongeveer 16 miljoen ADA, waarbij ook NFT’s en andere tokens werden meegenomen uit ongeveer 178 self-custody-portefeuilles. Exacte cijfers zijn niet onafhankelijk geverifieerd. De portefeuillegeneratiefout stelde privésleutels bloot op het moment van portefeuillecreatie, volgens berichtgeving destijds.
Hoskinson had iets anders in gedachten. De vraag die hij beantwoord wilde hebben was niet de omvang van het verlies. Hij wilde weten of er iets in Cardano’s eigen cryptografische laag was aangeraakt.
Cardano is hier niet het probleem
Zijn antwoord, na het demonteren van SecondFi’s geminificeerde TypeScript: nee. De open-source cryptografische bibliotheken die door de overgrote meerderheid van Cardano-portefeuilles worden gebruikt, zei hij op YouTube, lijken exact hetzelfde als voordat dit allemaal gebeurde. Sleutelafleiding, HD-portefeuillelogica, UTXO-selectie — niets daarvan, volgens zijn beoordeling, ziet er aangeraakt uit.
Wat er anders uitziet is de closed-source code. Hoskinson zei dat de afwijkende transacties verband lijken te houden met SecondFi’s eigen laag, met name code die was aangepast van de open-source standaard die Cardano onderhoudt. Dat onderscheid, daar bleef hij naar terugkomen.
Zoals Cardanians op X op 23 juni opmerkten, was dit geen compromittering van de Cardano-blockchain. Het account schreef dat de oorzaak lag in SecondFi’s eigen webportefeuillegeneratiesoftware, niet in de keten. Volgens Hoskinson is die framing accuraat.
Wat de gedemonteerde code daadwerkelijk liet zien
Hij zei dat hij kon repliceren hoe de aanval plaatsvond. Hij zal niet zeggen hoe. Onafhankelijke audits komen eerst, legde hij uit, en Emurgo moet die openbaarmaking leiden. Zijn inschatting is dat de 24-woord-zaadzinnen die door getroffen gebruikers worden gebruikt, mogelijk zelf niet zijn gecompromitteerd. De dingen die achteraf van die trefwoorden zijn afgeleid, dat is een ander verhaal.
De open-source infrastructuur waar Cardano jaren aan heeft gebouwd, is precies voor dit soort druk gebouwd. Hoskinson’s standpunt, zoals gesteld vóór dit incident en blijkbaar bevestigd door het incident: cryptografische code die het bredere ecosysteem beïnvloedt, moet worden gebouwd door een federatie van entiteiten, niet door één enkele leverancier. Dat zei hij duidelijk.
Input Output heeft geen autoriteit om fondsen te bevriezen of transacties terug te draaien. Hoskinson was daar direct over. Cardano is ontworpen als een echte cryptocurrency en geen enkele actor heeft die interventiebevoegdheden. Dat, zei hij, is met opzet.
White Hat-activiteit en wat er nu komt
Sommige fondsen die na het incident zijn verplaatst, zijn mogelijk helemaal niet door de aanvaller verplaatst. Hoskinson zei dat hij meldingen had gehoord van white hat-activiteit, waarbij sommige activa naar verluidt via die route zijn teruggevonden. Hij zei dat hij ernaar uitkijkt om meer te begrijpen over hoe die fondsen zullen worden teruggegeven.
Zijn advies voor iedereen die een portefeuille heeft die in aanraking is gekomen met SecondFi’s systeem: laat de sleutels met rust. Voer geen transacties uit. Hij noemde de hele applicatie gecompromitteerd tot een onafhankelijke audit anders zegt en een formele herstelprocedure loopt.
De berichtgeving in de cryptomedia, zei hij, was precies wat hij verwachtte. Hij noemde het, in zijn eigen woorden, AI-slobber journalist low-integrity trash. Daarna ging hij verder met het technische gedeelte. SecondFi is in onderhoudsmodus geplaatst. De onafhankelijke beoordeling is nog in behandeling.
Geef een reactie