Cryptonews

Алгоритмическая слабость оказывается дорогостоящей, поскольку платформа хранения криптовалюты становится жертвой ограбления на 29 000 долларов

Source
CryptoNewsTrend
Published
Алгоритмическая слабость оказывается дорогостоящей, поскольку платформа хранения криптовалюты становится жертвой ограбления на 29 000 долларов

Протокол конфиденциальности на основе Algorand HermesVault окончательно прекратил работу после того, как нарушение безопасности привело к краже примерно 261 000 токенов ALGO стоимостью около 29 466 долларов США на момент инцидента. Эту новость подтвердил ведущий инженер протокола Джулио Пиццини в сообщении на X, в котором подробно описывается техническая природа эксплойта.

Технический недостаток при проверке вывода средств

По словам Пиццини, схема с нулевым разглашением (zk), лежащая в основе механизма конфиденциальности HermesVault, оставалась безопасной. Однако уязвимость была обнаружена в логике защиты от сброса ключа в сценарии проверки вывода средств. Эта уязвимость позволила злоумышленнику полностью обойти процесс проверки zk и вывести средства без надлежащего разрешения.

Пиццини заявил, что с тех пор уязвимость была исправлена, а значительная часть украденных средств — 230 000 долларов США — уже возвращена проекту. Оставшиеся 30 000 долларов США ALGO до сих пор не учтены, но команда инициировала процесс возврата средств для пострадавших пользователей.

Процесс возврата средств для жертв

Жертвы, потерявшие средства в результате кражи оставшихся 30 000 долларов США ALGO, имеют право на полный возврат средств. Чтобы потребовать компенсацию, пользователи должны доказать право собственности на затронутый адрес и предоставить секретную заметку, связанную с их транзакцией. Команда не раскрыла конкретный срок подачи претензий на возврат средств, но призвала пользователей действовать незамедлительно.

Последствия для протоколов конфиденциальности

Инцидент с HermesVault подчеркивает сложность обеспечения безопасности протоколов DeFi, ориентированных на конфиденциальность. Хотя доказательства с нулевым разглашением широко считаются надежными, ошибки реализации в окружающей логике, такие как сценарии вывода средств, все же могут привести к критическим уязвимостям. Этот случай служит напоминанием о том, что даже хорошо проверенные системы на базе zk требуют комплексной проверки безопасности всех вспомогательных компонентов.

Для экосистемы Algorand отключение известного протокола конфиденциальности может вызвать вопросы о долгосрочной жизнеспособности решений по конфиденциальности в сети, особенно с учетом того, что во всем мире усиливается контроль со стороны регулирующих органов в отношении анонимных транзакций.

Заключение

Закрытие HermesVault после взлома $ALGO на сумму 29 тысяч долларов подчеркивает текущие проблемы безопасности в децентрализованных финансах. Хотя команда быстро исправила уязвимость и инициировала возврат средств, инцидент навсегда прекратил работу протокола. Пользователям, чьи средства пострадали, рекомендуется следовать официальной процедуре возврата средств, чтобы вернуть свои активы.

Часто задаваемые вопросы

Вопрос 1: Что стало причиной взлома HermesVault? При взломе использовалась ошибка в логике защиты от сброса ключа сценария проверки вывода средств, а не в самой схеме с нулевым разглашением. Это позволило злоумышленнику обойти проверку zk и вывести средства.

Вопрос 2: Сколько было украдено и сколько было возвращено? Было украдено около 261 000 долларов США (29 466 долларов США). Из этой суммы 230 000 долларов США ALGO были возвращены, а 30 000 долларов США ALGO все еще остаются непогашенными.

Вопрос 3. Как жертвы могут потребовать возмещения оставшихся украденных долларов США ALGO? Чтобы получить полный возврат средств, жертвы должны доказать право собственности на затронутый адрес и предоставить секретную записку, связанную с их транзакцией.