Sinabi ng tagapagtatag ng Cardano na si Charles Hoskinson na hindi na-hack ang blockchain. Ang paglabag sa wallet ng SecondFi ay nagmumula sa binagong closed-source code, ayon sa kanya.
Ang headline ay sumulat mismo: Na-hack ang Cardano. Maliban na hindi ito totoo. Sinabi ni Charles Hoskinson iyon noong Hunyo 24, nag-broadcast mula sa Colorado sa inilarawan niyang sesyon sa hatinggabi na pinag-aaralan ang code na hindi niya dapat pinag-aralan.
Ang SecondFi, ang dating kilala bilang Yoroi, ay nag-ulat ng isang insidente sa seguridad na nauugnay sa native web wallet generation software nito. Ang mga ulat na kumalat noong unang bahagi ng linggong ito ay naglalagay ng mga pagkalugi sa halos 16 milyong ADA, kasama ang mga NFT at iba pang token na kinuha mula sa humigit-kumulang 178 self-custody wallet. Ang eksaktong mga numero ay hindi pa na-verify nang hiwalay. Ang depekto sa pagbuo ng wallet ay naglantad ng mga pribadong key sa punto ng paglikha ng wallet, ayon sa mga ulat noong panahong iyon.
May ibang bagay sa isip ni Hoskinson. Ang tanong na nais niyang masagot ay hindi ang lawak ng pagkawala. Gusto niyang malaman kung may anumang bagay sa loob ng sariling cryptographic layer ng Cardano na naantig.
Hindi ang Cardano ang Problema Dito
Ang kanyang sagot, matapos i-disassemble ang minified TypeScript ng SecondFi: hindi. Ang open-source cryptographic libraries na ginagamit ng karamihan ng mga Cardano wallet, ayon sa kanya sa YouTube, ay tila eksaktong gaya ng dati bago mangyari ang lahat ng ito. Key derivation, HD wallet logic, UTXO selection — wala sa mga ito, ayon sa kanyang pagsusuri, ang mukhang naantig.
Ang mukhang iba ay ang closed-source code. Sinabi ni Hoskinson na ang mga anomalyang transaksyon ay tila konektado sa proprietary layer ng SecondFi, partikular na ang code na binago mula sa open-source standard na pinapanatili ng Cardano. Ang pagkakaibang iyon, paulit-ulit niyang binabalikan.
Gaya ng nabanggit ng mga Cardanian sa X noong Hunyo 23, hindi ito isang kompromiso sa blockchain ng Cardano. Isinulat ng account na ang ugat na sanhi ay nasa native web wallet generation software ng SecondFi, hindi sa chain. Ayon kay Hoskinson, tumpak ang pagkakabalangkas na iyon.
Ano Talaga ang Ipinakita ng Na-disassemble na Code
Sinabi niya na kaya niyang gayahin kung paano nangyari ang pag-atake. Hindi niya sasabihin kung paano. Unahin muna ang mga independiyenteng pag-audit, paliwanag niya, at kailangan ng Emurgo na manguna sa pagsisiwalat na iyon. Ang kanyang pagbasa ay ang 24-word seed phrases na ginamit ng mga apektadong user ay maaaring hindi mismo nakompromiso. Ang mga bagay na nakuha mula sa mga keyword na iyon pagkatapos ng pangyayari, ibang kwento iyon.
Ang open-source infrastructure na pinag-ukulan ng maraming taon ng Cardano ay itinayo para sa eksaktong ganitong uri ng presyon. Ang posisyon ni Hoskinson, gaya ng sinabi bago ang insidenteng ito at tila kinumpirma nito: ang cryptographic code na nakakaapekto sa mas malawak na ecosystem ay dapat itayo ng isang federation ng mga entidad, hindi ng isang solong vendor. Sinabi niya iyon nang malinaw.
Ang Input Output ay walang awtoridad na i-freeze ang mga pondo o baligtarin ang mga transaksyon. Direkta si Hoskinson tungkol doon. Ang Cardano ay idinisenyo bilang isang tunay na cryptocurrency, at walang iisang aktor ang may hawak ng mga kapangyarihan ng interbensyon na iyon. Iyon, ayon sa kanya, ay sa pamamagitan ng disenyo.
Aktibidad ng White Hat at Ano ang Susunod
Ang ilang mga pondo na nailipat pagkatapos ng insidente ay maaaring hindi talaga inilipat ng attacker. Sinabi ni Hoskinson na nakarinig siya ng mga ulat ng aktibidad ng white hat, at may ilang asset na naiulat na nakuha sa pamamagitan ng rutang iyon. Sinabi niya na umaasa siyang mas mauunawaan kung paano ibabalik ang mga pondong iyon.
Ang kanyang payo para sa sinumang may hawak na wallet na humawak sa sistema ng SecondFi: iwan ang mga key nang hindi ginagamit. Huwag mag-transact. Tinawag niyang kompromiso ang buong application hanggang sa may magsabing iba ang isang independiyenteng pag-audit at magpatakbo ng pormal na proseso ng remediation.
Ang coverage ng crypto media, ayon sa kanya, ay eksaktong inaasahan niya. Tinawag niya ito, sa kanyang mga salita, AI slop journalist low integrity trash. Pagkatapos ay lumipat siya sa teknikal na bahagi. Ang SecondFi ay inilagay sa maintenance mode. Ang independiyenteng pagsusuri ay nakabinbin pa rin.
Mag-iwan ng Tugon