Dwallet Labs сообщает, что они обнаружили уязвимости валидатора Infstones, из-за которых под угрозу оказались активы на сумму $1 миллиард, находящиеся в стейкинге

Традиционные угрозы Web2

Согласно кибербезопасности компании Dwallet Labs, первоначальное исследование безопасности показало, что у одного валидатора, принадлежащего Infstones, была “потенциально уязвимая точка входа”. Компания утверждает, что уязвимость, которая была обнаружена более четырех месяцев назад, подчеркивает до сих пор значительные риски, с которыми сталкиваются валидаторы из-за традиционных угроз Web2.

Чтобы доказать, что такая уязвимость может быть использована для осуществления разрушительной атаки, Dwallet Labs заявила, что создала свой собственный узел на Infstones “чтобы запустить наши собственные узлы и атаковать их”. Этот шаг позволил компании по безопасности получить “полный контроль и извлечь ключи”. Повторяя этот тип атаки, Dwallet Labs обнаружила еще больше уязвимостей. В итоге компания по безопасности смогла затронуть более 1000 серверов Infstones и “получить полный контроль, включая изъятие локально хранимых на сервере ключей валидатора.”

Уязвимости угрожают активам в стейкинге

В посте на Medium post, в котором подробно описываются результаты исследования безопасности, Элад Энерст, исследователь в области безопасности из Dwallet Labs, объяснил, что исследование было “сосредоточено на атаках на блокчейн-сети с более традиционной точки зрения”. Его план заключался в том, чтобы рассматривать валидаторы как обычные облачные серверы и атаковать их с использованием классических техник, которые он описывает.

Тем временем Омер Садика, генеральный директор Dwallet Labs, в социальных сетях обсуждая потенциальные последствия, если злоумышленник сумел бы получить такой контроль, сказал:

“Воздействие на затронутые серверы означало, что под угрозой оказались активы на сумму более 1 миллиарда долларов, находящиеся в стейкинге, и могли быть украдены ключи валидаторов на более чем 1,2% от ставок Ethereum и 3,9% от Lido. Злоумышленники могли бы использовать подобные уязвимости у многих провайдеров валидаторов для извлечения ключей, пока они не наберут достаточно силы, чтобы захватить и / или цензурировать сети.”

Для Садика и его команды обнаружение уязвимости показывает, что несмотря на наличие воздухонепроницаемого смарт-контракта, инфраструктура, используемая для запуска такого смарт-контракта или кода, потенциально может создать “вектор атаки, позволяющий полностью захватить сеть.”

Infstones говорят, что соответствующие шаги уже предприняты

Хотя Infstones признали наличие уязвимости, обнаруженной Dwallet Labs, первые, как сообщается, оспаривают оценку последними “серьезности потенциального влияния”. Согласно сообщению, размещенному Cryptotag на X (ранее Twitter), Infstones считают, что найденная уязвимость в 237 экземплярах составляет менее 0,1% от общего количества активных узлов, запущенных ими на сегодняшний день.

Тем не менее, в социальных сетях говорилось, что Infstones уже устранили некоторые из проблем, поднятых Dwallet Labs в их подробном отчете.

Однако в более позднем сообщении, следующем за сообщениями о том, что Infstones предприняли соответствующие шаги для устранения выявленных его компанией проблем, Садика, по видимому, выразил сожаление о попытках Infstones преуменьшить проблему.

“Худший способ решения уязвимости кибербезопасности – это не брать на себя ответственность и лгать. Мы были чрезвычайно открыты и прозрачны с целью устранения риска для Web3. Мое мнение: дело не в том, насколько вы полностью в безопасности или нет, потому что никто не в безопасности, это в том, как вы справляетесь с этим и сохраняете доверие ваших партнеров и клиентов,” заявил Садика.

Каково ваше мнение по этому поводу? Дайте нам знать ваши мысли в секции комментариев ниже.