Cardano blok zincirinin kurucu ortaklarından EMURGO, kısa süre önce yaklaşık 2,4 milyon dolar değerinde ADA’nın çalındığı SecondFi cüzdanı kullanıcılarına varlıklarını iade etmenin bir yolunu bulduğunu açıkladı.
X platformunda yayımlanan açıklamada, EMURGO CEO’su Phillip Pon, adli incelemenin tamamlandığını, cüzdan bakiyelerinin doğrulandığını ve “net bir kurtarma çözümü” tespit ettiklerini belirtti. Pon, kurtarma mekanizmasının oluşturulması için bir hafta, test edilmesi için ise bir hafta olmak üzere toplamda iki haftalık bir takvim öngördüklerini ifade etti.
Pon, etkilenen kullanıcılara fonlarını taşımamaları ve SecondFi’nin resmi yönlendirmeleri dışında herhangi bir adım atmamalarını tavsiye etti. Kurtarma sürecinin, ele geçirilen cüzdanların mevcut durumu esas alınarak tasarlandığını vurguladı. Ayrıca, kullanıcıların katılımını gerektiren herhangi bir adımın henüz başlamadığını ve SecondFi’nin hiçbir zaman özel anahtar, seed phrase veya cüzdan erişimi talep etmeyeceğini ekledi.
Bu açıklama, şirketin kurtarma sürecine ilişkin ilk kez somut bir takvim paylaşması açısından önem taşıyor. Henüz teknik bir inceleme raporu yayımlanmadı, kullanıcı başına iade miktarları veya fonların nasıl talep edileceğine dair detaylar paylaşılmadı.
Nisan ayında Yoroi’den SecondFi’ye yeniden markalanan cüzdan, 21-23 Haziran tarihleri arasında dört ayrı cüzdan boşaltma olayı yaşandığını bildirdi. Bunlardan üçü, harici saldırganlar tarafından gerçekleştirildi ve 374 cüzdan adresinden yaklaşık 16 milyon ADA (dönemin fiyatıyla 2,4 milyon dolar) çekildi.
Dördüncü olayda ise SecondFi, saldırganların erişimini engellemek amacıyla yaklaşık 129 milyon ADA’yı bağımsız bir üçüncü taraf saklama kuruluşuna acil önlem olarak aktardığını açıkladı. Bu varlıkların doğrulanması için harici bir denetim firmasının devreye alındığı ve etkilenen kullanıcıların destek sitesi üzerinden talepte bulunabileceği belirtildi.
Şirket, iki saldırgan cüzdan tespit ettiğini; bunlardan birinin 171, diğerinin ise 203 cüzdanı boşalttığını bildirdi. Hırsızlıkla bağlantılı yaklaşık 4 milyon ADA’nın ise izlenen bir toplu cüzdan adresinde tutulduğu ve kolluk kuvvetlerine bilgi verildiği aktarıldı.
SecondFi, cüzdan oluşturma yazılımındaki adres düzeyinde bir açık nedeniyle kullanıcıların özel anahtarlarının ifşa olduğunu açıkladı. Etkilenen kurtarma kelimesinin başka bir cüzdanda kullanılması halinde de riskin ortadan kalkmadığı, çünkü açık adresle yapılan her işlemde tehlikenin devam ettiği uyarısı yapıldı.
Olayla ilgili daha ayrıntılı bir analiz, kendi cüzdanını geliştiren Tibane Labs tarafından yayımlandı. Tibane Labs’ın raporuna göre, ihlal PlayStation 3’teki gibi nonce tekrarından değil, Ed25519 imzalama hatasından kaynaklandı. Raporda, cüzdanın imzalayıcısının, her imzaya karıştırılması gereken gizli anahtar bilgisini atladığı ve bu değerin yalnızca herkese açık işlem verilerinden türetildiği belirtildi. Böylece, tek bir imza ile özel anahtarın elde edilebildiği ve ikinci bir işlem ya da istatistiksel saldırıya gerek kalmadığı ifade edildi.
Tibane, bu zafiyetin, bağımsız bir geliştirici tarafından npm’ye yüklenen ve EMURGO’nun daha önce denetlenmiş sürümünün yerine 8 Haziran’da devreye alınan trantor adlı deneysel ve denetlenmemiş bir SDK’dan kaynaklandığını belirtti. İlk tehlikeli imzanın da aynı gün zincir üstünde görüldüğü kaydedildi.
Raporda, temel kriptografik kütüphanenin sağlam olduğu, ancak cüzdanın anahtarı bu kütüphaneye yanlış şekilde entegre ettiği ve gizli nonce bilgisinin ayarlanmadığı vurgulandı. Tibane, imzalı Android sürümünü decompile ederek trantor koduyla eşleştirdiğini ve geçmiş imzalardan mağdurların özel anahtarlarını elde ederek mekanizmayı doğruladığını açıkladı. The Block, bu bulguları bağımsız olarak doğrulayamadı.
EMURGO, teknik bir inceleme raporu yayımlamadı ve Tibane’nin üçüncü taraf SDK’ya yönelik tespitlerine kamuya açık bir yanıt vermedi. Öte yandan, güvenlik araştırmacısı Taylor Monahan da SecondFi’nin kendi kriptografisini geliştirdiğini, yazılımın kapalı kaynak ve denetlenmemiş olduğunu belirtti.
Yoroi, yıllarca Cardano’nun ana hafif cüzdanı olarak hizmet vermişti. EMURGO ise ağın üç kurucu kuruluşundan biri konumunda. Tibane, yaşananları bir kodlama hatasından ziyade yönetişim eksikliği olarak değerlendirdi. Kurucu bir kuruluşun, denetlenmiş bir sürüm yerine bağımsız inceleme veya test olmadan denetlenmemiş kodu üretime aldığını vurguladı.
Saldırı, ADA’nın çok yıllık dip seviyelerine yakın işlem gördüğü bir dönemde gerçekleşti. Ayrıca, yılın başlarında yaşanan ve sosyal mühendisliğe dayanan Solana Drift Protocol’deki 280 milyon dolarlık başka bir nonce kaynaklı ihlalin ardından geldi.
Tibane’nin analizine göre, yalnızca 8 Haziran’dan sonra yapılan imzalar risk altında. Bu tarihten önce imzalanan işlemlerde ise denetlenmiş sürüm kullanıldı.
Bu içerik hazırlanırken faydalanılan kaynaklar: theblock.co
