EMURGO، الكيان المؤسس المشارك لبلوكتشين كاردانو، أعلن السبت أنه حدد حل استرداد لمستخدمي محفظته SecondFi، إثر استغلال أمني صرف ما يقرب من 2.4 مليون دولار من عملة ADA بين 21 و23 يونيو. صرح الرئيس التنفيذي فيليب بون بأن الشركة أكملت تحقيقها الجنائي وتحقق من أرصدة المحافظ، وحددت مهلة أسبوعين لإعادة الأموال — أسبوع لبناء آلية الاسترداد وأسبوع آخر لاختبارها. أثر الاختراق على 374 عنواناً، ونشأ مما وصفته الشركة بخلل على مستوى العنوان في برنامج إنشاء المحافظ كشف مفاتيح المستخدمين الخاصة. EMURGO هي إحدى المنظمات المؤسسة الثلاث لشبكة كاردانو، وSecondFi هي النسخة المعاد تسميتها من محفظة Yoroi التي أُطلقت في أبريل.
في بيان نُشر على X، قال بون للمستخدمين المتضررين ألا ينقلوا الأموال أو يتخذوا أي إجراءات خارج الإرشادات الرسمية من SecondFi، مشيراً إلى أن عملية الاسترداد تُبنى حول الوضع الحالي للمحافظ المخترقة. وأضاف أنه لم تبدأ بعد أي خطوة تتطلب مشاركة المستخدم، وأن SecondFi لن تطلب أبداً مفاتيح خاصة أو عبارات استرداد أو الوصول إلى المحفظة. منشور السبت هو المرة الأولى التي تعلن فيها الشركة عن جدول زمني ملموس للاسترداد. ولم تنشر بعد تحليلاً فنياً كاملاً للحدث، أو تكشف عن مبالغ الاسترداد لكل مستخدم، أو تشرح بالتفصيل كيفية المطالبة بالأموال.
SecondFi تسجل سحب 2.4 مليون دولار عبر 374 عنواناً بين 21-23 يونيو
وصفت SecondFi أربعة أحداث سحب للمحفظة بين 21 و23 يونيو. ثلاثة منها نفذها مهاجمون خارجيون، استولوا على حوالي 16 مليون ADA، بقيمة 2.4 مليون دولار تقريباً في ذلك الوقت، من 374 عنواناً. في الحدث الرابع، قالت SecondFi إنها نقلت حوالي 129 مليون ADA إلى جهة حفظ مستقلة طرف ثالث كإجراء طارئ لإبعاد الأموال عن المهاجمين. وأضافت أنه تم التعاقد مع شركة محاسبة خارجية للتحقق من تلك المقتنيات، وأن المستخدمين المتضررين يمكنهم تقديم مطالبات عبر موقع الدعم الخاص بها.
قالت الشركة إنها حددت محفظتين للمهاجم، إحداهما سحبت 171 محفظة والأخرى 203 محافظ، وأن حوالي 4 ملايين ADA مرتبطة بالسرقة موجودة في عنوان مراقب تحت المراقبة. وأشارت إلى أنها أبلغت سلطات إنفاذ القانون.
Tibane Labs تعزو الاختراق إلى SDK غير مدقق نُشر في 8 يونيو
ألقت SecondFi باللوم على خلل على مستوى العنوان في برنامج إنشاء المحافظ كشف مفاتيح المستخدمين الخاصة. وحذرت من أن استعادة عبارة استرداد متأثرة في محفظة أخرى لا يزيل الخطر، لأن الكشف يحدث عندما يوقع عنوان مخترق على معاملة.
نشرت Tibane Labs تقريراً جنائياً عن الحادثة يوم السبت. Tibane Labs تعمل على تطوير محفظتها الخاصة، ونتائجها تتطابق مع الادعاءات العامة التي أدلى بها سابقاً مارك كاربيليس، الرئيس التنفيذي السابق لـ Mt. Gox وهو جزء من هذا الفريق، مما يعني أن تحليلها يأتي من طرف منافس.
قالت Tibane إن الاختراق لم يكن بسبب إعادة استخدام nonce، بل خطأ في التوقيع Ed25519. وفقاً للتقرير، قام موقّع المحفظة بإسقاط السر الخاص بكل مفتاح الذي يمزجه المعيار في كل توقيع، وبالتالي فإن القيمة المفترض أن تكون سرية تم حسابها من بيانات المعاملة العامة وحدها. مما جعلها قابلة للاشتقاق من قبل أي شخص وجعل توقيعاً واحداً كافياً لإعادة بناء المفتاح الخاص، دون الحاجة إلى معاملة ثانية أو هجوم إحصائي.
قالت Tibane إن الموقّع الضعيف كان SDK تجريبياً غير مدقق يُدعى trantor، نُشر على npm بواسطة مطور مستقل، حل محل البناء الذي شحنته EMURGO سابقاً وخضع للتدقيق في 8 يونيو. أول توقيع تم اختراقه يظهر على السلسلة في نفس اليوم، وفقاً للتقرير. قالت Tibane إن مكتبة التشفير الأساسية كانت سليمة وأن الخطأ يكمن في كيفية توصيل المحفظة بالمفتاح فيها، مما ترك مادة nonce السرية غير محددة. وأضافت أنها فككت بناء Android الموقّع، وطابقته مع كود trantor، واستعادت المفاتيح الخاصة للضحايا من التواقيع التاريخية لتأكيد الآلية.
لم تنشر EMURGO تحليلاً فنياً للحدث، ولم تعلق علناً على إسناد Tibane إلى SDK من طرف ثالث. بشكل منفصل، قالت الباحثة الأمنية تايلور موناهان هذا الأسبوع إن SecondFi "ابتكرت تشفيرها الخاص" وأن البرنامج كان مغلق المصدر وغير مدقق.
EMURGO تواجه تساؤلات حوكمة حول نشر كود غير مدقق
خدمت Yoroi كمحفظة خفيفة رئيسية لكاردانو لسنوات قبل إعادة تسمية SecondFi في أبريل، وEMURGO هي إحدى المنظمات المؤسسة الثلاث للشبكة. صاغت Tibane الحادثة على أنها ليست مجرد خطأ في الترميز بل فشل في الحوكمة، بحجة أن كياناً مؤسساً نشر كوداً غير مدقق في الإنتاج بدلاً من بناء مدقق، دون مراجعة مستقلة أو اختبار كان سيكشف الخلل.
وفقاً لتقييم Tibane، فقط التواقيع التي تمت اعتباراً من 8 يونيو مكشوفة، والمعاملات الموقعة قبل ذلك التاريخ استخدمت التنفيذ المدقق.
الأسئلة الشائعة
ماذا حدث لمستخدمي محفظة SecondFi بين 21 و23 يونيو؟
قام مهاجمون خارجيون بسحب ما يقرب من 2.4 مليون دولار من عملة ADA من 374 عنواناً عبر ثلاثة أحداث منفصلة. نقلت EMURGO 129 مليون ADA إضافية إلى جهة حفظ طرف ثالث كإجراء طارئ.
متى أعلنت EMURGO عن جدول زمني لإعادة الأموال؟
أعلن الرئيس التنفيذي لـ EMURGO فيليب بون يوم السبت أن الشركة حددت حلاً للاسترداد وحددت مهلة أسبوعين — أسبوع لبناء آلية الاسترداد وأسبوع آخر لاختبارها قبل بدء عمليات الإعادة.
ما سبب استغلال محفظة SecondFi وفقاً لـ Tibane Labs؟
أرجعت Tibane Labs الاختراق إلى خطأ في التوقيع Ed25519 في SDK غير مدقق يُدعى trantor، حل محل بناء EMURGO المدقق في 8 يونيو. ذكر التقرير أن الموقّع الضعيف أسقط مادة السر الخاصة بكل مفتاح، مما سمح بإعادة بناء المفاتيح الخاصة من توقيع واحد.
