Bảo mật Paradex được thử nghiệm khi lỗ hổng Mithril Trading Bot làm lộ 57 khóa phụ của người dùng

Các sự kiện gần đây trên Paradex đã đặt ra những câu hỏi mới xung quanh bảo mật paradex, các công cụ tự động hóa của bên thứ ba và tốc độ phản ứng của các sàn giao dịch khi hệ thống bị xâm phạm.

Paradex xác nhận vi phạm Mithril Trading Bot

Nền tảng phái sinh Paradex đã xác nhận một sự cố bảo mật liên quan đến Mithril Trading Bot, sau khi kẻ tấn công truy cập vào hệ thống nội bộ của Mithril và lộ khoảng 57 khóa phụ của người dùng. Theo Wu Blockchain, Paradex tuyên bố rằng việc khai thác chỉ giới hạn ở cơ sở hạ tầng của Mithril và không xâm phạm sàn giao dịch cốt lõi.

Hơn nữa, Paradex nhấn mạnh rằng các khóa phụ bị ảnh hưởng mang quyền hạn bị hạn chế. Những khóa này có thể thực hiện giao dịch thay mặt người dùng nhưng không thể rút hoặc chuyển tiền từ tài khoản người dùng. Lựa chọn thiết kế này đã bảo vệ hiệu quả vốn, mặc dù quyền truy cập giao dịch tự động đã tạm thời gặp rủi ro.

Để đáp lại, sàn giao dịch đã tạm dừng tất cả chuyển XP và nhanh chóng thu hồi mọi khóa phụ liên quan đến tài khoản giao dịch liên kết Mithril. Điều đó cho thấy, Paradex chỉ ra rằng việc chuyển XP dự kiến sẽ tiếp tục sớm, sau khi hoàn thành các kiểm tra nội bộ và xác thực bảo mật.

Những gì bị xâm phạm và ai bị ảnh hưởng

Vi phạm chỉ tác động đến những người dùng đã kết nối tài khoản Paradex của họ với các bot giao dịch của Mithril. Không có khách hàng Paradex nào khác bị ảnh hưởng và nền tảng nhắc lại rằng sự xâm phạm không mở rộng đến các hệ thống lưu ký hoặc khớp lệnh chính của nó.

Những khóa phụ này, được thiết kế cho các chiến lược tự động, cho phép bot đặt và quản lý giao dịch nhưng thiếu quyền rút từ ví người dùng. Tuy nhiên, mặc dù mô hình quyền hạn hạn chế này giúp ngăn chặn tác động, nó vẫn để lộ mức độ nhạy cảm của cấu hình giao dịch và chiến lược khi các công cụ của bên thứ ba bị xâm phạm.

Paradex chia sẻ cập nhật thông qua tài khoản X chính thức của mình và cảnh báo người dùng về việc cấp quyền truy cập cho các dịch vụ bên ngoài. Công ty nhấn mạnh rằng họ không kiểm soát cách các nhà cung cấp bên ngoài lưu trữ, mã hóa hoặc bảo mật khóa API và khóa phụ, điều này để lại một lớp rủi ro bổ sung cho các nhà giao dịch dựa vào tự động hóa.

Bot bên thứ ba và rủi ro tự động hóa ngày càng tăng

Sự cố này nhấn mạnh những thách thức bảo mật rộng hơn xung quanh các bot giao dịch của bên thứ ba trên thị trường crypto. Khi người dùng tích hợp các công cụ bên ngoài, họ thực sự mở rộng bề mặt tấn công ra ngoài sàn giao dịch cốt lõi vào cơ sở hạ tầng mà họ không nhìn thấy hoặc kiểm soát.

Hơn nữa, Paradex nhấn mạnh rằng trách nhiệm kiểm tra các công cụ này cuối cùng thuộc về người dùng cuối. Các nhà giao dịch được kêu gọi xem xét tài liệu bảo mật, thực hành lưu trữ khóa và phạm vi quyền trước khi kết nối các dịch vụ tự động hóa với tài khoản của họ, đặc biệt khi liên quan đến các chiến lược phái sinh phức tạp.

Đối với nhiều người dùng bị ảnh hưởng, vi phạm đã gây bất ngờ mặc dù phạm vi hạn chế. Tuy nhiên, việc thu hồi nhanh chóng các khóa phụ bị lộ và việc không có các khoản rút trái phép đã giúp duy trì niềm tin rằng số dư vẫn an toàn, ngay cả khi niềm tin vào tích hợp bên thứ ba đã bị lung lay.

Hành động bảo mật của Paradex và phản ứng cộng đồng

Sau khi phát hiện sự xâm phạm Mithril, Paradex đã thực hiện một loạt biện pháp bảo mật. Đầu tiên, nó tạm dừng chuyển XP như một bước đề phòng trong khi thực hiện kiểm toán nội bộ. Sau đó, nó thu hồi tất cả các khóa phụ liên kết Mithril, cắt đứt kết nối bị xâm phạm với tài khoản người dùng.

Công ty cũng kêu gọi các nhà giao dịch xem xét tất cả các kết nối đang hoạt động, xóa thông tin xác thực API không sử dụng và giảm thiểu quyền hạn bất cứ nơi nào có thể. Điều đó cho thấy, nhiều thành viên cộng đồng trên các nền tảng xã hội đã khen ngợi giao tiếp nhanh chóng và phản ứng kỹ thuật của Paradex, ngay cả khi họ kêu gọi các hướng dẫn nghiêm ngặt hơn xung quanh tích hợp bên thứ ba.

Một số nhà bình luận lập luận rằng kiến trúc bảo mật paradex, đặc biệt là việc sử dụng các khóa phụ không thể rút, đã giảm đáng kể thiệt hại tiềm ẩn từ vi phạm. Những người khác lưu ý rằng sự kiện này là lời nhắc nhở rằng sự tiện lợi và tự động hóa phải luôn được cân bằng với rủi ro bảo mật hoạt động.

Hoàn tiền 650,000 USD sau sự cố ngày 19 tháng 1

Khai thác liên quan đến Mithril theo sát gót một thách thức hoạt động khác cho Paradex. Vào ngày 19 tháng 1, nền tảng gặp sự cố mạng đã kích hoạt các bất thường về giá, bao gồm hiển thị ngắn Bitcoin (BTC) ở mức giá 0 USD trên giao diện.

Lỗi này đã dẫn đến một làn sóng thanh lý không chính xác trên các vị thế phái sinh. Sau khi xem xét tác động, Paradex đã tiến hành phân tích chi tiết các tài khoản bị ảnh hưởng và quyết định bồi thường cho người dùng bị thanh lý nhầm trong thời gian gián đoạn.

Sàn giao dịch cuối cùng đã phát hành khoảng 650,000 USD tiền hoàn lại cho khoảng 200 người dùng. Hơn nữa, Paradex tuyên bố rằng quá trình xem xét này hiện đã hoàn thành và tất cả các tài khoản bị ảnh hưởng đã nhận được bồi thường thích hợp, sau một lần khôi phục blockchain trước đó được thực hiện để sửa bất thường.

Niềm tin, minh bạch và bài học cho các nhà giao dịch DeFi

Tổng hợp lại, việc lộ khóa phụ và sự cố tháng 1 làm nổi bật cách các địa điểm giao dịch crypto đang phát triển nhanh được kiểm tra căng thẳng trong điều kiện thị trường thực tế. Tuy nhiên, chúng cũng chứng minh tại sao việc công khai và báo cáo sự cố chi tiết là rất quan trọng để duy trì niềm tin của người dùng.

Paradex đã cung cấp các bản cập nhật theo phong cách khám nghiệm tử thi, làm rõ những gì bị xâm phạm và nêu rõ cách họ giảm thiểu cả vi phạm liên quan đến bot và lỗi thanh lý. Đối với các nhà giao dịch, bài học chính rất đơn giản: các bot tự động có thể khuếch đại lợi nhuận, nhưng chúng cũng đưa ra các lớp rủi ro đối tác và cơ sở hạ tầng mới.

Trong một môi trường mà hiệu suất và sự tiện lợi thường được ưu tiên, những sự kiện này củng cố rằng các thực hành bảo mật mạnh mẽ, giao tiếp minh bạch và sử dụng thận trọng các công cụ bên ngoài vẫn là điều cần thiết. Cuối cùng, người dùng được nhắc nhở rằng niềm tin vào các nền tảng và dịch vụ của bên thứ ba phải được kiếm được liên tục, không phải giả định.

Tóm lại, các sự cố Paradex và Mithril cho thấy rằng trong khi quỹ người dùng vẫn được bảo vệ bởi các khóa phụ có quyền hạn hạn chế và hoàn tiền sau đó, cả kiến trúc bảo mật và tốc độ giao tiếp hiện là trung tâm của lợi thế cạnh tranh trong giao dịch crypto.