Сотни кошельков Ethereum, которые годами оставались нетронутыми, были опустошены и переведены на один и тот же помеченный адрес, что превратило давнюю утечку ключей в самое острое предупреждение о криптобезопасности на этой неделе.
30 апреля WazzCrypto сообщил об инциденте, затронувшем кошельки основной сети, в X, и их предупреждение быстро распространилось, поскольку затронутые аккаунты не выглядели как свежесозданные горячие кошельки. Это были старые кошельки со спокойной историей, некоторые из которых были связаны с активами и инструментами ранней эпохи Ethereum.
Более 260 ETH, что составляет примерно 600 000 долларов, было выведено из сотен бездействующих кошельков. Похоже, пострадало более 500 кошельков, а общие убытки составили около 800 000 долларов, при этом многие кошельки простаивали от четырех до восьми лет. Связанный адрес Etherscan помечен как Fake_Phishing2831105, показывает 596 транзакций и фиксирует перемещение 324,741 ETH в сторону THORChain Router v4.1.1 примерно в окне 30 апреля.
Общее для них сейчас важнее: долго бездействующие кошельки были перемещены в общее место назначения, в то время как путь компрометации остается невыясненным.
Этот невыясненный вектор делает вывод средств самым сильным предупреждением на этой неделе, после всплеска взломов в DeFi. Эксплойты протоколов обычно предоставляют следователям контракт, вызов функции или привилегированную транзакцию для проверки.
Здесь центральный вопрос лежит на уровне кошельков. Были ли получены старые сид-фразы, взломаны слабо сгенерированные ключи, использованы утечки приватных ключей, злоупотреблен инструмент, который когда-то обрабатывал ключи, или использован другой путь, который еще не всплыл?
Публичное обсуждение выдвинуло теории, включая слабую энтропию в устаревших инструментах для кошельков, скомпрометированные мнемоники, обработку ключей торговыми ботами и хранение сидов времен LastPass. Один пострадавший пользователь лично выдвинул теорию LastPass.
Практические советы для пользователей ограничены, но срочны. Бездействие не снижает риск, связанный с приватными ключами. Кошелек с ценностью зависит от полной истории ключа, сид-фразы, устройства, которое его сгенерировало, программного обеспечения, которое его касалось, и каждого места, где это секретное значение могло храниться.
Для пользователей ответ, вероятно, заключается в том, чтобы составить инвентаризацию старых кошельков с высокой стоимостью, перемещать средства только после создания нового материала ключа с помощью доверенного оборудования или современного программного обеспечения кошелька и избегать ввода старых сидов в чекеры, скрипты или незнакомые инструменты восстановления. Отзыв разрешений помогает при экспозиции протокола, включая предупреждение пользователя Wasabi, но прямой вывод средств из кошелька в первую очередь указывает на безопасность ключей, а не на разрешения токенов.
Апрель расширил поверхность контроля
Кластер кошельков появился на фоне уже возросшего числа эксплойтов в криптосфере за апрель. Отчеты, связанные с DefiLlama, указывают на примерно 28–30 инцидентов в апреле и более 625 миллионов долларов украденных средств. По состоянию на 1 мая, API DefiLlama в реальном времени показывал 28 инцидентов в апреле на общую сумму 635 241 950 долларов.
Рыночная ветка от 1 мая зафиксировала болевую точку: вывод средств из кошельков на этой неделе, эксплойт административного ключа протокола Wasabi и крупные апрельские потери в DeFi затронули поверхности контроля, которые обычные пользователи редко проверяют. Связь на протяжении месяца архитектурная, а не атрибутивная.
Административные пути стали путями атаки
Протокол Wasabi предоставляет самый наглядный недавний пример протокола. Эксплойт 30 апреля привел к потере примерно от 4,5 до 5,5 миллионов долларов после того, как злоумышленник получил полномочия развертывателя/администратора, предоставил ADMIN_ROLE контрактам, контролируемым злоумышленником, и использовал обновления прокси UUPS для вывода средств из хранилищ и пулов в Ethereum, Base и Blast. Ранние оповещения о безопасности зафиксировали шаблон обновления администратора по мере развития атаки.
Сообщаемая механика ставит управление ключами в центр инцидента. Возможность обновления может быть нормальной инфраструктурой технического обслуживания. Концентрированная власть обновления превращает этот путь обслуживания в цель высокой ценности. Если один развертыватель или привилегированный аккаунт может изменять логику реализации в разных сетях, граница вокруг проверенного контракта может исчезнуть, как только эта власть будет скомпрометирована.
Это проблема, видимая пользователю, скрытая во многих интерфейсах DeFi. Протокол может представлять открытые контракты, общедоступные фронтенды и язык децентрализации, в то время как критическая власть обновления по-прежнему находится в небольшом наборе операционных ключей.
Подписанты и верификаторы понесли самые большие убытки
Drift перенес ту же проблему контроля в рабочий процесс подписантов. Chainalysis описал социальную инженерию, постоянные транзакции с nonce, поддельное обеспечение, манипулирование оракулами и миграцию Совета Безопасности 2 из 5 с нулевым таймлоком. Blockaid оценил убытки примерно в 285 миллионов долларов и утверждал, что симуляция транзакций и более строгие политики совместного подписания могли бы изменить исход.
Случай Drift важен здесь, потому что путь не зависел от простой ошибки в общедоступной функции. Он зависел от рабочего процесса, в котором действительные подписи и быстрое управление могли быть использованы для враждебной миграции. Процесс подписания стал поверхностью контроля.
KelpDAO перенес стресс-тест на кроссчейн-верификацию. В заявлении об инциденте описывалась конфигурация моста, в которой маршрут rsETH использовал LayerZero Labs в качестве единственного верификатора DVN. Судебно-медицинские обзоры описали скомпрометированные RPC-узлы и давление DDoS, подающее ложные данные в единый путь верификации.
В результате, по данным Chainalysis, было выпущено 116 500 rsETH на сумму около 292 миллионов долларов против несуществующего сжигания. Контракт токена мог остаться нетронутым, в то время как мост принял ложную предпосылку. Вот почему сбой верификатора может стать проблемой структуры рынка, когда токен, перенесенный через мост, оказывается внутри рынков кредитования и пулов ликвидности.
ИИ следует включить в обсуждение скорости
Я считаю, что Проект Glasswing заслуживает особого упоминания здесь для контекста, отдельно от причинно-следственной связи. Anthropic заявляет, что Claude Mythos Preview обнаружил тысячи высококритичных программных уязвимостей и показывает, как ИИ может сжать обнаружение уязвимостей. Это поднимает планку для защитников, но причинно-следственная связь в этих криптоинцидентах указывает на ключи, подписантов, административные полномочия, верификацию мостов, зависимости RPC и нерешенную экспозицию кошельков.
Последствия для безопасности по-прежнему серьезны. Более быстрое обнаружение дает атакующим и защитникам больше параллельных поверхностей для работы. Это также делает старые операционные ярлыки более дорогостоящими, поскольку бездействующие секреты, привилегированные ключи и пути с одним верификатором могут быть протестированы быстрее, чем команды могут их вручную проверить.
Список исправлений является операционным
Меры контроля, вытекающие из апреля, находятся выше и вокруг кодовой базы.
| Инцидент | Скрытая точка контроля | Режим отказа | Практический контроль |
|---|---|---|---|
| Бездействующие кошельки Ethereum | Старый материал кошельков | Средства перемещены из долго бездействующих кошельков на помеченный адрес, в то время как вектор остается нерешенным | Генерация новых ключей для ценных бездействующих средств, осторожная миграция и отказ от ввода сидов в неизвестные инструменты |
| Wasabi | Административные полномочия и полномочия на обновление | Предоставление привилегированных ролей и обновления UUPS позволили вывести средства из хранилищ и пулов | Ротация ключей, более строгие пороговые значения, ограниченные административные полномочия, таймлоки и независимый мониторинг действий по обновлению |
| Drift | Рабочий процесс подписантов Совета Безопасности | Предварительно подписанные постоянные транзакции с nonce и управление с нулевой задержкой позволили быстро захватить администрирование | Более высокие пороговые значения, окна задержки, симуляция транзакций и совместное подписание, основанное на политике |
| KelpDAO | Путь верификации моста | Отравление RPC и маршрут DVN 1 из 1 позволили пройти ложному кроссчейн-сообщению | Множественная верификация DVN, мониторинг кроссчейн-инвариантов и независимые проверки вне того же пути верификации |
Для протоколов приоритетом является снижение того, что может сделать один орган за один раз. Это означает таймлоки для административных операций, более строгие и стабильные пороговые значения для подписантов, мониторинг очередей привилегированных транзакций, явные ограничения на изменение параметров и системы совместного подписания, которые симулируют эффекты транзакций до того, как люди их одобрят.
Для мостов приоритетом является независимая верификация и проверки инвариантов. Кроссчейн-сообщение должно проверяться на соответствие экономическому факту, который оно претендует представлять. Если rsETH покидает одну сторону, система должна проверить соответствующее изменение состояния на другой стороне, прежде чем сторона назначения выпустит стоимость. Этот мониторинг должен существовать вне того же пути, который подписывает сообщение.
Для пользователей список исправлений короче. Переместите ценные старые средства на новые ключи с помощью процесса, которому вы уже доверяете. Отделите это действие от очистки разрешений, специфичных для протокола. Относитесь к каждому утверждению о корневой причине вывода средств из кошелька как к предварительному, пока судебно-медицинская работа не выявит общий инструмент, путь хранения или источник экспозиции.
Следующее испытание
Апрель доказал, что контрольный список безопасности среднего пользователя, вероятно, неполный. Аудиты, публичные контракты и децентрализованные интерфейсы могут сосуществовать с концентрированной административной властью, слабыми процедурами подписания, хрупкой верификацией мостов и старыми секретами кошельков.
Следующий квартал будет вознаграждать доказательства, а не язык децентрализации: ограниченные полномочия на обновление, видимые таймлоки, независимые пути верификаторов, симуляция транзакций для привилегированных действий, дисциплинированный контроль доступа и документированная ротация ключей.
Вывод средств из бездействующих кошельков показывает неудобную для пользователя версию той же проблемы. Система может выглядеть спокойной, пока в фоновом режиме ждет старый сбой контроля. Волна эксплойтов в апреле обнажила этот слой над кодом; следующий этап покажет, какие команды отнесутся к нему как к основной безопасности до того, как средства будут перемещены.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Liam 'Akiba' Wright
