کیف‌پول‌های کاردانو در پی نفوذ SecondFi، هشدار امنیتی ناشی از ضعف کلید خصوصی

SecondFi، که قبلاً با برند کیف‌پول Yoroi مرتبط بود، پس از کشف نقص بحرانی در نرم‌افزار تولید کیف‌پول مبتنی بر وب خود، خدمات خود را متوقف کرد. این نقص ظاهراً کلیدهای خصوصی کاربران را فاش کرده و منجر به سرقت عمده‌ای از ارز دیجیتال ADA شد. این حادثه هشدارهای فوری برای کاربران متضرر صادر کرده است، اما منبع معتبر تأکید دارد که این یک هک در پروتکل بلاک‌چین کاردانو نبوده است.

در ابتدا، تخمین زده شد که حدود ۱۶ میلیون ADA معادل تقریباً ۲.۴ میلیون دلار از ۳۷۴ کیف‌پول سرقت شده است. شرکت امنیت سایلموست، بعداً هشدار داد که اثرات کلی ممکن است از ۱۲۹ میلیون ADA فراتر رود که بیش از ۲۰ میلیون دلار دارایی است. این ارقام باید با دقت بررسی شوند، اما نشان می‌دهند که چرا این حادثه به سرعت به یک موضوع امنیتی با اولویت بالا در اکوسیستم کاردانو تبدیل شد.

یکی از مهم‌ترین نکات در این موضوع، جایگاه اتفاق نیفتاده است. شبکه کاردانو خودش به عنوان هدف هک یا نقص امنیتی توصیف نشده است. مشکل محدود به نرم‌افزار تولید کیف‌پول است که توسط SecondFi استفاده می‌شود، و ریسک بیشتر متوجه کیف‌پول‌های آسیب‌دیده و کلیدهای خصوصی است تا لایه‌ی اساسی بلاک‌چین یا امنیت دفتر کل.

هشدار شدید برای کاربران متضرر این است که نباید رمزهای بازیابی آسیب‌دیده را در کیف‌پول‌های دیگر وارد کنید. اگر خود کلیدهای خصوصی به طور ناامن تولید شده یا فاش شده باشند، وارد کردن مجدد همان عبارت بازیابی، مشکل را حل نمی‌کند بلکه همان اعتبارنامه‌های آسیب‌دیده را وارد رابطی جدید می‌کند.

همچنین، در هشدار ذکر شده است که لینک‌های بازیابی تأیید نشده یا پلاتفرم‌های استرداد شخص ثالث نباید مورد اعتماد قرار گیرند. متداول است که در پس استثمارهای رمزارزها، کلاهبرداران ظاهر می‌شوند و خود را به عنوان پشتیبانی، تیم‌های بازیابی یا پورتال‌های استرداد معرفی می‌کنند. کاربران باید تنها به اطلاعیه‌ها و گزارش‌های امنیتی رسمی SecondFi اعتماد داشته باشند.

در حال حاضر، مرحله بعد بستگی دارد به اینکه آیا SecondFi یک گزارش کامل از حادثه منتشر می‌کند، شرکت‌های امنیتی هم‌اکنون می‌توانند دامنه نهایی کیف‌پول‌های آسیب‌دیده را تأیید کنند، و اینکه آیا فرآیندهای جبران خسارت یا بازیابی از طریق کانال‌های رسمی برقرار می‌شود یا نه. تا آن زمان، بهترین رویکرد بسیار ساده است: این یک حادثه فعال امنیت کیف‌پول است و برآوردهای خسارت در حال افزایش است.

برای جامعه کاردانو، این واقعه یادآور است که امنیت در بلاک‌چین تنها محدود به لایه‌ پروتکل نمی‌شود. تولید کیف‌پول، رابط‌های مبتنی بر مرورگر، مدیریت عبارت‌های بازیابی و فرآیندهای بازیابی کاربر می‌توانند به نقاط شکست بحرانی تبدیل شوند. در این حالت، مهم‌ترین وظیفه کمک به کاربران متضرر است تا از خطرات بیشتر جلوگیری شود در حالی که دامنه نهایی آسیب‌ها تأیید می‌شود.

منبع اصلی: