اخطار نفوذ SecondFi امنیت دیفای کاردانو را مجدداً زیر فشار قرار داد

کاربران SecondFi با هشدار امنیتی جدی مواجه شده‌اند پس از کشف نقص در تولید کلیدهای کیف پول. گزارش‌ها نشان می‌دهند که خسارت‌های تایید شده ممکن است کمتر از دارایی‌های احتمالی فاش‌شده باشد. این حادثه یادآوری مهم است که نواقص در زیرساخت کیف پول‌ها می‌تواند بسیار خطرناک‌تر از اشتباهات معمول در قراردادهای هوشمند باشد.

پروژه دیفای کاردانو، SecondFi، پس از گزارش‌هایی درباره نقص در تولید کلید کیف پول که کاربران را در معرض ضررهای احتمالی به ارزش ده‌ها میلیون دلار قرار داده است، تحت فشار است. مسئله به خصوص جدی است زیرا ظاهراً مشکل در تولید کیف پول‌های مخدوش است، نه یک باگ ساده در قرارداد هوشمند.

این تفاوت اهمیت دارد. نفوذهای قراردادهای هوشمند معمولاً دارایی‌هایی را که در پروتکل یا پل قفل شده‌اند تحت تأثیر قرار می‌دهند. مشکل در تولید کلید خصوصی می‌تواند کیف پول‌ها را در عمق تحت تأثیر قرار دهد و امکان دارد کاربران را در معرض ریسک قرار دهد حتی اگر دارایی‌ها هنوز جابه‌جا نشده باشند. اگر کلیدها با تصادفی‌سازی پیش‌بینی‌پذیر تولید شده باشند، هر کیف پولی که تحت تأثیر قرار گرفته است باید به عنوان پرخطر تلقی شود.

نکته در مورد تخمین خسارت این است که گزارش‌ها خسارت‌های تأیید شده در چند میلیون را نشان می‌دهند، در حالی که تحلیل‌های امنیتی بر امکان آسیب گسترده‌تر تأکید دارند. این تفاوت معمول است در رویدادهای نقص در کیف پول، زیرا همه کیف پول‌های آسیب‌پذیر بلافاصله تخلیه نمی‌شوند. برخی ممکن است هنوز دارایی داشته باشند، بنابراین پنجره ریسک پس از عمومی‌شدن حادثه نیز باز باقی می‌ماند.

برای کاربران، امن‌ترین واکنش در چنین وضعیتی معمولاً انتقال به کیف پول‌های جدید است که با نرم‌افزارهای بدون نقص ساخته شده‌اند. برای اکوسیستم، مشکل اصلی اعتماد است. دیفای به اعتماد کاربران متکی است که کیف پول‌ها، رابط‌های جلویی و پروتکل‌ها، خطر مدیریتی کلیدهای فاجعه‌بار را به طور پنهانی ایجاد نمی‌کنند.

یک درس بزرگ‌تر برای دیفای این است که امنیت تنها محدود به قراردادهای هوشمند بازرسی‌شده نیست. کد کیف پول، تولید تصادفی، وابستگی‌های رابط کاربری، افزونه‌های مرورگر و روند امضا همگی می‌توانند سطح حمله را افزایش دهند.

برای کاردانو، این رویداد خسارت‌بار است زیرا اکوسیستم در تلاش است اعتماد و نقدینگی عمیق‌تری در دیفای ایجاد کند. گام‌های بعدی بستگی دارد به اینکه چه سرعتی کاربران تحت تأثیر شناسایی می‌شوند، تیم چه وضوحی در ارتباطات دارد و آیا محققان امنیتی مستقل می‌توانند دامنه کامل آسیب‌پذیری را تأیید کنند.

محتوا بر اساس اطلاعات ارائه‌شده از Crypto Briefing است.

منبع اصلی: