Ana Sayfa
Haberler
Detaylar

THORChain, 10,8 milyon dolarlık bir sızıntı sonrası alım satımı durdurdu; MPC cüzdan güvenliği konusunda endişeleri artırdı

iconAMBCrypto
Paylaş
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconÖzet

expand icon
THORChain, 15 Mayıs'ta bir Asgard kasanından 10,7 milyon ila 10,8 milyon dolarlık bir sızıntı sonrası işlem faaliyetlerini askıya aldı. Ledger CTO'su Charles Guillemet, MPC cüzdanlarında kullanılan GG20 TSS protokolünde potansiyel bir hata olduğunu işaret etti. Protokol, kullanıcı fonlarının dokunulmadığını doğruladı ve soruşturma devam ediyor. Olayın ardından piyasa güvenlik ihlaline tepki olarak işlem hacmi keskin bir şekilde düştü.

THORChain, bir Asgard kasanın zarar görmesi sonucu yaklaşık 10,7 milyon ila 10,8 milyon doların çalındığı bir istismar sonrası işlem ve imza faaliyetlerini durdurdu. Bu, protokol ve güvenlik araştırmacılarından gelen açıklamalara göre.

15 Mayıs'ta yapılan bir duyuruda THORChain, ağınn anormal faaliyetleri otomatik olarak tespit ettiğini ve ekstra dışa doğru işlemeleri önlemek için imzalama işlemlerini askıya aldığını açıkladı.

Protokol şunu söyledi:

İlan
  • Altı Asgard kasasından biri ihlal edilmiş gibi görünüyor,
  • Hareketlilik faaliyetleri durduruldu,
  • ve node operatörlerine altyapı, anahtar yönetim sistemleri ve operasyonel güvenlikte herhangi bir ihlal belirtisi olup olmadığını incelemeleri istendi.

THORChain, ilk işaretlerin kullanıcı fonlarının doğrudan etkilenmediğini ve kayıpların protokolün kendi fonlarına sınırlı göründüğünü belirtti.

Ledger CTO, olası TSS zafiyetine işaret ediyor

Charles Guillemet, olayın eşiğin imza şeması [TSS] altyapısıyla ilgili bir zayıflıkla ilişkili olabileceğini öne sürdü.

THORChain katkıda bulunan JP Thor'un yorumlarına atıfta bulunan Guillemet, istismarın, GG20'yi içeren bir MPC istismarı olabileceğini söyledi. Bu, bazı çok taraflı hesaplama [MPC] cüzdan sistemlerinde kullanılan bir eşik imza protokolüdür.

THORChain'in kilitleri, tam özel anahtarın bir yerde yeniden oluşturulmadan birden fazla node'un ortak olarak imza üretmesine izin vermek için tasarlanmış bir kriptografik sistem olan TSS'ye dayanır.

Ancak Guillemet, daha önceki GG18/GG20 ailesi protokollerinin tarihsel olarak şu kritik zafiyetlerle karşılaştığını belirtti:

  • CVE-2023-33241,
  • ve TSSHOCK.

Bazı daha önce belgelenmiş saldırı senaryolarında, tek bir compromisli ortak imzalayıcının tam imza anahtarını geri kazanmak için yeterli bilgiyi yeniden oluşturabileceğini savundu.

Yapay zeka destekli saldırılar, doğrulayıcı güvenlik varsayımlarını değiştirebilir

Guillemet’in analizinin daha dikkat çekici kısımlarından biri, yapay zeka ve altyapı güvenliği üzerine odaklanmıştı.

LLM destekli zafiyet keşfi ve istismar üretimi gelişmelerinin, daha önce saldırıya karşı zorlu kabul edilen doğrulayıcı altyapısını ele geçirmenin zorluğunu azaltabileceğini uyardı.

Guillemet'e göre, olası bir saldırı senaryosu şunları içerebilir:

  • Bir doğrulayıcıyı ele geçirmek,
  • Aktif bir kasa katılmak için bekleniyor,
  • Anahtar oluşturma veya imzalama sırasında bozuk imza kanıtlarından yararlanma,
  • ve kasa anahtarlarını çevrimdışı olarak yeniden oluşturma.

Aynı zamanda, istismarın tam kök nedeninin hâlâ belirsiz olduğunu ve araştırmacıların bir GG20 zafiyetinin mi yoksa daha önce keşfedilmemiş bir hatanın mı dahil olduğuna dair henüz onay vermediğini belirtti.

Soruşturma devam etmektedir

THORChain katkıda bulunanlar, soruşturma halen devam etmektedir ve düzeltme çabaları devam ettikçe ek güncellemeler yayınlanacaktır.

Olay, çapraz zincir protokollerinde, muhafaza sistemlerinde ve kurumsal kripto altyapısında giderek daha fazla kullanılan MPC ve TSS altyapısının güvenlik varsayımları etrafındaki artan incelemelere katkıda bulunuyor.

Son Özet

  • THORChain, kasa zafiyeti nedeniyle protokole ait fonlardan yaklaşık 10,8 milyon doların çıkarılmasının ardından alım satımı durdurdu.
  • Güvenlik araştırmacıları ve Ledger CTO Charles Guillemet, olayın MPC/TSS imzalama altyapısıyla ilişkili zayıflıklarla ilgili olabileceğini söyledi.

Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.