Seseorang baru saja menguras dompet Ethereum yang sudah lama terlupakan dan tidak aktif, dan penyebabnya mungkin dapat ditelusuri hingga bertahun-tahun lalu
Ratusan dompet Ethereum yang tidak tersentuh selama bertahun-tahun dikuras ke alamat bertanda yang sama, mengubah eksposur kunci lama menjadi peringatan keamanan kripto paling tajam minggu ini.
Pada 30 Apr, WazzCrypto menandai insiden yang memengaruhi dompet mainnet di X, dan peringatan mereka menyebar dengan cepat karena akun yang terdampak tidak tampak seperti hot wallet baru yang dijebak. Mereka adalah dompet lama dengan riwayat yang tenang, beberapa terkait dengan aset dan perkakas dari era Ethereum sebelumnya.
Lebih dari 260 ETH, sekitar $600.000, dikuras dari ratusan dompet dormant. Lebih dari 500 dompet tampaknya terdampak, dengan total kerugian sekitar $800.000, dan banyak dompet telah tidak aktif selama empat hingga delapan tahun. Alamat Etherscan terkait diberi label Fake_Phishing2831105, menampilkan 596 transaksi, dan mencatat pergerakan 324,741 ETH ke THORChain Router v4.1.1 sekitar jendela waktu 30 Apr.
Kesamaan di antara semuanya lebih penting untuk saat ini: dompet yang lama tidak aktif telah dipindahkan ke tujuan yang sama, sementara jalur kompromi masih belum terselesaikan.
Vektor yang belum terselesaikan itu menjadikan pengeringan ini sebagai peringatan terkuat minggu ini, menyusul lonjakan peretasan DeFi. Eksploitasi protokol biasanya memberi penyelidik kontrak, panggilan fungsi, atau transaksi istimewa untuk diperiksa.
Di sini, pertanyaan utama berada di lapisan dompet. Apakah seseorang mendapatkan frasa seed lama, memecahkan kunci yang dihasilkan dengan lemah, menggunakan materi kunci privat yang bocor, menyalahgunakan alat yang pernah menangani kunci, atau mengeksploitasi jalur lain yang belum terungkap?
Diskusi publik telah menghasilkan berbagai teori termasuk entropi lemah pada alat dompet lawas, mnemonik yang dikompromikan, penanganan kunci bot perdagangan, dan penyimpanan seed era LastPass. Satu pengguna yang terdampak secara pribadi mengajukan teori LastPass.
Saran praktis bagi pengguna terbatas namun mendesak. Ketidakaktifan tidak mengurangi risiko kunci privat. Dompet yang memiliki nilai bergantung pada seluruh riwayat kunci, frasa seed, perangkat yang menghasilkannya, perangkat lunak yang menyentuhnya, dan setiap tempat rahasia tersebut mungkin telah disimpan.
Bagi pengguna, responsnya mungkin adalah menginventarisasi dompet lama bernilai tinggi, memindahkan dana hanya setelah menyiapkan materi kunci baru melalui perangkat keras tepercaya atau perangkat lunak dompet modern, dan menghindari memasukkan seed lama ke dalam pemeriksa, skrip, atau alat pemulihan yang tidak dikenal. Mencabut persetujuan membantu untuk eksposur protokol, termasuk peringatan pengguna Wasabi, tetapi pengeringan dompet langsung pertama-tama menunjuk pada keamanan kunci daripada persetujuan token.
April memperluas permukaan kontrol
Kluster dompet ini muncul di tengah tally eksploitasi kripto April, yang sudah tinggi. Pelaporan terkait DefiLlama menempatkan April pada sekitar 28 hingga 30 insiden dan lebih dari $625 juta dana yang dicuri. Per 1 Mei, API DefiLlama langsung menampilkan 28 insiden April dengan total $635.241.950.
Sebuah utas pasar pada 1 Mei menangkap titik tekanan: pengeringan dompet minggu ini, eksploitasi kunci admin Wasabi Protocol, dan kerugian DeFi April yang lebih besar semuanya menghantam permukaan kontrol yang jarang diperiksa oleh pengguna biasa. Keterkaitan sepanjang bulan bersifat arsitektur daripada atribusi.
Jalur admin menjadi jalur serangan
Wasabi Protocol menyediakan contoh protokol terbaru yang paling jelas. Eksploitasi 30 Apr dilaporkan menguras sekitar $4,5 juta hingga $5,5 juta setelah penyerang mendapatkan otoritas deployer/admin, memberikan ADMIN_ROLE kepada kontrak yang dikendalikan penyerang, dan menggunakan upgrade proxy UUPS untuk menguras vault dan pool di Ethereum, Base, dan Blast. Peringatan keamanan awal menandai pola admin-upgrade saat serangan berlangsung.
Mekanisme yang dilaporkan menempatkan manajemen kunci di pusat insiden. Kemampuan upgrade bisa menjadi infrastruktur pemeliharaan normal. Otoritas upgrade yang terpusat mengubah jalur pemeliharaan itu menjadi target bernilai tinggi. Jika satu deployer atau akun istimewa dapat mengubah logika implementasi di berbagai chain, batas di sekitar kontrak yang diaudit dapat lenyap begitu otoritas tersebut dikompromikan.
Itulah masalah yang dihadapi pengguna yang tersembunyi di balik banyak antarmuka DeFi. Sebuah protokol dapat menampilkan kontrak terbuka, front end publik, dan bahasa desentralisasi sementara kekuatan upgrade kritis masih berada di sekumpulan kecil kunci operasional.
Penanda tangan dan verifikator menanggung kerugian terbesar
Drift mendorong masalah kontrol yang sama ke dalam alur kerja penanda tangan. Chainalysis menggambarkan rekayasa sosial, transaksi nonce tahan lama, agunan palsu, manipulasi oracle, dan migrasi Security Council 2-dari-5 tanpa timelock. Blockaid memperkirakan kerugian sekitar $285 juta dan berpendapat bahwa simulasi transaksi dan kebijakan co-signer yang lebih ketat dapat mengubah hasilnya.
Kasus Drift penting di sini karena jalurnya tidak bergantung pada bug fungsi publik sederhana. Bergantung pada alur kerja di mana tanda tangan yang valid dan mesin tata kelola yang cepat dapat diarahkan menuju migrasi yang bermusuhan. Proses penanda tangan menjadi permukaan kontrol.
KelpDAO memindahkan uji stres ke verifikasi lintas rantai. Pernyataan insiden menggambarkan konfigurasi bridge di mana rute rsETH menggunakan LayerZero Labs sebagai satu-satunya verifikator DVN. Tinjauan forensik menggambarkan node RPC yang dikompromikan dan tekanan DDoS yang memasukkan data palsu ke jalur verifikasi satu titik.
Hasilnya, menurut Chainalysis, adalah 116.500 rsETH senilai sekitar $292 juta, dirilis terhadap pembakaran yang tidak ada. Kontrak token dapat tetap utuh sementara bridge menerima premis palsu. Itulah mengapa kegagalan verifikator dapat menjadi masalah struktur pasar begitu aset yang dijembatani berada di dalam pasar pinjaman dan liquidity pool.
AI masuk dalam diskusi kecepatan
Saya pikir Project Glasswing layak mendapat penyebutan khusus di sini untuk konteks, terpisah dari kausalitas. Anthropic mengatakan Claude Mythos Preview menemukan ribuan kerentanan perangkat lunak dengan tingkat keparahan tinggi dan menunjukkan bagaimana AI dapat mempersingkat penemuan kerentanan. Hal itu meningkatkan standar bagi para pembela, tetapi catatan kausal dalam insiden kripto ini menunjuk pada kunci, penanda tangan, kekuatan admin, verifikasi bridge, dependensi RPC, dan eksposur dompet yang belum terselesaikan.
Implikasi keamanannya masih serius. Penemuan yang lebih cepat memberi penyerang dan pembela lebih banyak permukaan paralel untuk dikerjakan. Hal ini juga membuat pintasan operasional lama menjadi lebih mahal karena rahasia dormant, kunci istimewa, dan jalur verifikator tunggal dapat diuji lebih cepat daripada tim dapat meninjaunya secara manual.
Daftar perbaikan bersifat operasional
Kontrol yang mengikuti dari April berada di atas dan di sekitar basis kode.
| Insiden | Titik kontrol tersembunyi | Mode kegagalan | Kontrol praktis |
|---|---|---|---|
| Dompet Ethereum dormant | Materi dompet lama | Dana dipindahkan dari dompet yang lama tidak aktif ke alamat bertanda sementara vektor masih belum terselesaikan | Pembuatan kunci baru untuk dana dormant bernilai, migrasi hati-hati, dan tidak memasukkan seed ke alat yang tidak dikenal |
| Wasabi | Otoritas admin dan upgrade | Pemberian peran istimewa dan upgrade UUPS memungkinkan pengeringan vault dan pool | Rotasi kunci, ambang batas yang lebih kuat, kekuatan admin yang dibatasi, timelock, dan pemantauan independen atas tindakan upgrade |
| Drift | Alur kerja penanda tangan Security Council | Transaksi nonce tahan lama yang telah ditandatangani sebelumnya dan tata kelola tanpa penundaan memungkinkan pengambilalihan admin yang cepat | Ambang batas yang lebih tinggi, jendela penundaan, simulasi transaksi, dan co-signing yang diberlakukan kebijakan |
| KelpDAO | Jalur verifikasi bridge | Peracunan RPC dan rute DVN 1-dari-1 memungkinkan pesan lintas rantai palsu lolos | Verifikasi multi-DVN, pemantauan invarian lintas rantai, dan pemeriksaan independen di luar jalur verifikator yang sama |
Bagi protokol, prioritasnya adalah mengurangi jumlah yang dapat dilakukan oleh satu otoritas sekaligus. Itu berarti time lock pada operasi admin, ambang batas penanda tangan yang lebih kuat dan stabil, antrean transaksi istimewa yang dipantau, batas eksplisit pada perubahan parameter, dan sistem co-signing yang mensimulasikan efek transaksi sebelum manusia menyetujuinya.
Bagi bridge, prioritasnya adalah verifikasi independen dan pemeriksaan invarian. Pesan lintas rantai harus diuji terhadap fakta ekonomi yang diklaim diwakilinya. Jika rsETH meninggalkan satu sisi, sistem harus memverifikasi perubahan status yang sesuai di sisi lain sebelum sisi tujuan melepaskan nilai. Pemantauan itu perlu ada di luar jalur yang sama yang menandatangani pesan.
Bagi pengguna, daftar perbaikannya lebih kecil. Pindahkan dana lama yang bernilai ke kunci baru melalui proses yang sudah Anda percayai. Pisahkan tindakan itu dari pembersihan persetujuan khusus protokol. Perlakukan setiap klaim tentang akar penyebab pengeringan dompet sebagai sementara hingga pekerjaan forensik mengidentifikasi alat, jalur penyimpanan, atau sumber eksposur yang umum.
Ujian berikutnya
April membuktikan bahwa daftar periksa keamanan pengguna rata-rata kemungkinan tidak lengkap. Audit, kontrak publik, dan antarmuka terdesentralisasi dapat hidup berdampingan dengan otoritas admin yang terpusat, prosedur penanda tangan yang lemah, verifikasi bridge yang rapuh, dan rahasia dompet lama.
Kuartal berikutnya akan memberi penghargaan pada bukti daripada bahasa desentralisasi: kekuatan upgrade yang dibatasi, timelock yang terlihat, jalur verifikator independen, simulasi transaksi untuk tindakan istimewa, kontrol akses yang disiplin, dan rotasi kunci yang terdokumentasi.
Pengeringan dompet dormant menunjukkan versi sisi pengguna yang tidak nyaman dari masalah yang sama. Sebuah sistem dapat terlihat tenang sementara kegagalan kontrol lama menunggu di latar belakang. Gelombang eksploitasi April mengungkap lapisan di atas kode; fase berikutnya akan menunjukkan tim mana yang memperlakukannya sebagai keamanan inti sebelum dana berpindah.
Postingan Seseorang baru saja menguras dompet Ethereum dormant yang lama terlupakan, dan penyebabnya mungkin dapat ditelusuri bertahun-tahun ke belakang pertama kali muncul di CryptoSlate.
Anda Mungkin Juga Menyukai
Trump Sons Raup Untung dari Setiap Sisi Kesepakatan Tungsten US$1,6 Miliar yang Didukung AS
Pasar Saham Hari Ini: S&P 500 dan Nasdaq Mencapai Rekor Tertinggi Saat Musim Pendapatan Berlanjut
