Kaip kainos iš ateities suklaidino kriptovaliutų orakulą ir sumokėjo iki 24 mln
„Ostium“, nuolatinės grandinės prekybos platforma, teigė, kad penkias minutes trukęs saugumo incidentas sukėlė nuostolių iš jos viešo likvidumo saugyklos. Apsaugos įmonės apskaičiavo, kad išnaudojimas siekė 24 mln.
Viena iš įkūrėjų Kaledora Kiernan-Linn patvirtino, kad problema vyko nuo liepos 15 d. 14:18 iki 14:23 UTC ir paveikė viešąjį Ostium Liquidity Provider (OLP) saugyklą. Ji sakė, kad komanda tai nustatė per kelias minutes ir per valandą suderino prekybos pauzę. Pareiškime nepateiktas galutinis bendras nuostolių skaičius, nenustatyta pagrindinė priežastis ar pateiktas galutinis pomirtinis.
Apsaugos įmonės teigė, kad incidento centre atsidūrė įgalioti duomenys, o ne trūkstamas parašas. „Blockaid“ ir „Cyvers“ teigė, kad registruotas „PriceUpKeep“ ekspeditorius pateikė ateities datas patvirtintas „Oracle“ ataskaitas, kurios sukūrė dirbtinį prekybos pelną.
„SlowMist“ teigė, kad įgaliotasis pasirašantis asmuo pateikė tinkamai pasirašytus manipuliuotus duomenis, naudojamus pakartotiniams pelningiems sandoriams. Šie aprašymai lieka trečiųjų šalių išvadomis, kol Ostium bus atlikta po mirties.
Kriptografinis autentifikavimas gali nustatyti, kad leistinas raktas pasirašė ataskaitą. Kainos patikimumui, laiko žymos naujumui ir atsiskaitymų saugai reikia atskirų valdiklių.
„OstiumVerifier“ kodas, susietas su „Ostium“ saugos dokumentais, atkuria ECDSA pasirašytoją ir patikrina, ar pasirašantis asmuo yra įgaliotas, tačiau ši tikrinimo funkcija neįgyvendina kainos patikimumo testo ar laiko žymos.
Atrodo, kad kodas nenurodo, kuris diegimas buvo aktyvus per incidentą ir ar atskirose sutartyse buvo taikytas tas patikrinimas. Bet kokios laiko žymos, pakartojimas, kainos nuokrypis ar kelių šaltinių apsaugos priemonės turėtų veikti kitur vykdymo kelyje.
„Ostium“ protokolo dokumentacijoje teigiama, kad OLP saugykla turi prekybininkų užstatą ir iš karto išmoka laimėtus sandorius grandinėje. Jei atsiskaityti buvo priimtas dirbtinis pelnas, saugyklos likvidumas finansavo išmokas.
Paskelbti skaičiavimai išaugo, nes tęsėsi sekimas. „Blockaid“ išmokėjo beveik 18 mln. USD, „Cyvers“ įvertino 23,7 mln. USD, o „PeckShield“ vėliau aprašė, kad buvo išleista maždaug 24 mln.
Atrodo, kad mažesnis „SlowMist“ 11,86 mln. USD skaičius rodo vieną 11 862 444 782 USDC saugyklos nutekėjimą, matomą minėtoje operacijoje.
„PeckShield“ teigė, kad išgautas USDC buvo pakeistas į 12 080 ETH ir kad 10 540 ETH pasiekė „Tornado Cash“ atnaujinus. Kiernan-Linn sakė, kad Ostium bendradarbiauja su teisėsauga, SEAL 911 ir trečiųjų šalių saugumo specialistais.
Mechanika išskiria „Ostium“ nuo panašios problemos, susijusios su „Bonzo Lend“, „Hedera“ skolintoju, susidūrusiu prieš keturias dienas. Bonzo incidento ataskaitoje teigiama, kad jos tikrintojas priėmė įrodymą be galiojančio parašo. „Ostium“ atveju saugos įmonės teigia, kad pranešimai buvo gauti per įgaliotąjį pasirašymo kelią: autentifikavimas pavyko, tačiau duomenys tariamai nesaugūs.
„Ostium“ vis tiek turi nustatyti, ar pasirašytojo raktas buvo pažeistas, įgaliotas operatorius pasielgė piktybiškai, ar nebuvo piktnaudžiaujama kitu privilegijuotu keliu.
Jos ištaisymas bus vertinamas pagal tai, ar pasirašančiojo izoliacija, griežtos laiko žymos ribos, nepriklausomi kainų patikrinimai, tarifų ribos ir grandinės pertraukikliai gali neleisti vienam patikimam keliui kelias minutes blogų duomenų paversti kitu saugyklos išmokėjimu.
