Step Finance praneša apie iždo piniginės įsilaužimą

Step Finance praneša apie iždo piniginės įsilaužimą

Komentarai

9 Minutės

Step Finance praneša apie iždo piniginės įsilaužimą Solana tinkle

Su Solana susijęs DeFi informacijos skydelis Step Finance patvirtino saugumo incidentą: buvo pažeistos kelios iždo (treasury) piniginės, o grandinėje (onchain) užfiksuotas maždaug 261 854 SOL pervedimas (apie 27,2 mln. USD). Naujiena iššaukė greitą rinkos reakciją — protokolo valdymo žetonas STEP per kelias valandas po pranešimo krito daugiau nei 90 %, kai likvidumas greitai sumažėjo ir dalis turėtojų ėmėsi skubaus pasitraukimo.

Ką atskleidė Step Finance

Step Finance komanda X tinkle (anksčiau Twitter) paskelbė, kad „ankstyvą dienos laiką kelios mūsų iždo piniginės buvo pažeistos išmaniojo veikėjo (sophisticated actor) per APAC (Azijos ir Ramiojo vandenyno) valandas“. Platforma nurodė, jog išpuolis naudojo „gerai žinomą atakos vektorių“ ir kad buvo nedelsiant pradėti pataisymai bei apsaugos veiksmai. Komanda dar nepaskelbė pilno incidento tyrimo ataskaitos (postmortem) ir nepatvirtino, ar pažeidimas kilo dėl išmaniojo kontrakto (smart contract) pažeidžiamumo, nutekėjusių privačių raktų, ar dėl vidinio operatyvinio klaidos.

Pažeista transakcija

Onchain įrodymai ir rinkos pasekmės

Blockchain saugumo įmonė CertiK atliko grandinės duomenų analizę ir nustatė, kad atakuotojas atšaukė stake‘ą (unstake) ir pervedė maždaug 261 854 SOL iš Step Finance kontroliuojamų piniginių. Esamomis kainomis toks pervedimas atitinka maždaug 27,2 mln. USD. Kainų duomenys iš CoinGecko parodė, kad STEP žetonas vienu metu prekavosi maždaug už 0.001578 USD, o per 24 valandas jo kaina nukrito daugiau nei 93 %, kai likvidumas išgaravo ir turėtojai skubiai bandė išeiti iš pozicijų.

Tokie masiniai iždo nuostoliai dažnai sukelia ne tik momentinį kainos šoką, bet ir platesnes likvidumo bei pasitikėjimo problemas: keičiasi DEX likvidumo baseinai, atsisako prieigų kai kurie CEX, užblokavusios adresų stebėsenos institucijos gali įvesti papildomus apribojimus, o arbitražo algoritmai greitai adaptuojasi, gilindami kainų svyravimus. Ataka taip pat paskatina rinkos dalyvius peržiūrėti rizikos modelius, ypač kai pažeidimas susijęs su iždo (treasury), o ne vien individualių vartotojų sąskaitų srautais.

Neaiškus poveikis vartotojų lėšoms

Step Finance iki šiol ribojo savo komentarus, patvirtindama tik iždo kompromitavimą ir pradėtus pataisymo veiksmus. Projektas nepareiškė, ar vartotojų laikomos lėšos buvo paveiktos ne tik protokolo nuosavų rezervų (treasury). Šis skirtumas yra esminis DeFi incidentuose: jei nuostoliai apsiriboja iždo pozicijomis, protokolas gali imtis teisinių ar atstatymo priemonių, o bendruomenė ir valdymo organai turi daugiau galimybių kompensacijai ar rizikos perskirstymui. Tuo tarpu tiesioginis vartotojų lėšų pažeidimas dažnai sukelia ilgalaikes reputacijos, teisines ir reguliacines pasekmes, kurios gali būti sunkiau sušvelninti.

Siekiant aiškumo, reikėtų pažymėti kelis svarbius techninius aspektus, kuriuos reikia ištirti prieš darant galutines išvadas apie vartotojų nuostolius:

  • Ar iždo lėšos buvo saugomos tuo pačiu multisig mechanizmu kaip vartotojų depozitai?
  • Ar buvo administracinių raktų ar nuotolinių valdymo aksesų, leidusių atakuotojui perskirstyti lėšas be vartotojo sutikimo?
  • Ar smart contract sluoksnyje egzistavo privilegijuotos funkcijos (pašalinimo, pervedimo ar valdymo funkcijos), kurios galėjo būti išnaudotos?
  • Ar buvo pasitelkti trečiųjų šalių serviso tiekėjai (pvz., custodial sprendimai), kurie galėjo būti atakos taikinys?

Atsakymai į šiuos klausimus yra būtini, kad būtų galima nustatyti paveiktų partijų ribą ir suplanuoti atstatymo veiksmus, įskaitant galimas kompensacijas ar vertybinių popierių valdymo sprendimus.

Kontekstas: Step Finance ir jos vaidmuo Solana DeFi ekosistemoje

Step Finance, paleista 2021 m., save pristato kaip „Solanos pirmąją puslapio (front page) platformą“ — ji suteikia vieningą sąsają stebėti pelningumo fermas (yield farms), likvidumo tiekėjų (LP) pozicijas ir kitus DeFi instrumentus Solana tinkle. Tokios platformos funkcija — konsoliduoti duomenis iš kelių programų ir protokolų, kad vartotojas galėtų matyti bendrą portfelio vaizdą, atlygių struktūras ir riziką.

Be pagrindinės produktų linijos, Step Finance valdo ir su Solana susijusią žiniasklaidos platformą SolanaFloor bei rengia Solana Crossroads konferenciją, skirtą bendruomenės susitikimams ir ekosistemos plėtrai. 2024 m. pabaigoje Step Finance įsigijo Moose Capital (dabar Remora Markets) ir paskelbė ambicijas palaikyti tokenizuotų akcijų (tokenized equity) prekybą Solana tinkle, kur STEP žetonas turėtų vaidinti svarbų vaidmenį valdyme ir paskatos mechanizmuose.

Step Finance ekosistemos svarba reiškia, kad jos saugumo incidentas gali turėti platesnį poveikį Solana DeFi bendruomenei: tiek techniniu, tiek reputaciniu lygiu. Sisteminė rizika kyla, kai įrankiai, kuriuos vartoja didelė dalis bendruomenės (pvz., portfelio stebėjimo ir LP valdymo įrankiai), tampa atakos taikiniais arba kai iždo nuostoliai verčia protokolus persvarstyti bendrus saugumo standartus.

Saugumo pamokos ir pramonės reakcija

Saugumo vadovai dažnai pabrėžia, kad neadekvatūs incidentų valdymo planai, lėtos komunikacijos ir operacinė paralyžė yra pagrindinės priežastys, kodėl daugelis kripto projektų niekada pilnai neatsistato po didelio įsilaužimo. Imunefi (Immunefi) vadovybė, įskaitant generalinį direktorių Mitchellą Amadorą, ragino komandas turėti parengtus veiksmų būdus (playbooks) greitam krizės valdymui — tai sumažintų žalą ir padėtų išlaikyti pasitikėjimą. Kerberus vadovas Alex Katz pažymi, kad net atlikus techninius pataisymus, reputacijos praradimas dažnai sukelia likvidumo nutekėjimą ir ilgalaikes kredibiliteto problemas.

Pramonė taip pat akcentuoja kelis praktinius saugumo ir valdymo veiksmus, kurie galėjo sumažinti tokių incidentų poveikį arba jį visiškai užkirsti:

  • Multisignatūros (multisig) sprendimų ir separacijos (segregation) taikymas iždo valdymui, kad vien tik vienas pažeistas aktorius negalėtų pervesti lėšų.
  • Nuolatinė audito politika, įskaitant tiek vidaus, tiek išorės auditus; naudojant formalius audito reikalavimus prieš naujų funkcijų įdiegimą produkte.
  • Privatų raktų valdymas, įskaitant HSM (hardware security modules) arba patikimų custodian paslaugų naudojimas, taip sumažinant nutekėjimo riziką.
  • Greita prieigos revizija ir privilegijų mažinimas — minimalus teisės (principle of least privilege) administravimo modelis.
  • Atviras incidentų komunikacijos planas, kuris numato reguliarų informacijos teikimą bendruomenei, teisinių konsultacijų integravimą ir koordinaciją su onchain forensikos įmonėmis.

Tokia prevencinė ir reagavimo infrastruktūra — kartu su draudimo (insurance) sprendimais ir bug bounty programomis — pagerina bendrą rezilianciją ir padeda greičiau atstatyti pasitikėjimą po incidento.

Kol Step Finance komanda tęsia tyrimą ir bendradarbiauja su grandinės saugumo įmonėmis, platesnė Solana ir DeFi bendruomenė stebės šiuos elementus:

  1. Transparantišką laiko eilutę (timeline) įvykiui: kas ir kada buvo pastebėta, kokie sprendimai priimti realiu laiku.
  2. Forensinius duomenis: transakcijų grandinės analizė, naudoti adresai, perkėlimų maršrutai ir ar buvo taikytos „mixing“/laužymo paslaugos.
  3. Aiškias pataisos (remediation) priemones: ar bus atstatyta iždo dalis, ar siūloma kompensacija, ar bus imtasi teisinių veiksmų prieš subjektyvius dalyvius.
  4. Ilgalaikio saugumo plano viešinimas: organizacinės, techninės ir procesinės priemonės, kurios sumažins panašios rizikos pasikartojimą.

Galimos atstatymo opcijos apima pavogtų lėšų sekimą ir, kur įmanoma, jų užšaldymą bendradarbiaujant su keityklomis (CEX) ir teisėsaugos institucijomis, teisinių priemonių taikymą ir atvirą komunikaciją su suinteresuotosiomis šalimis (stakeholders), siekiant atkurti pasitikėjimą.

Techniniai detalės ir forensikos galimybės

Grandinės tyrimas (onchain forensics) gali pateikti reikšmingų įrodymų atsekti lėšų kelią po to, kai jie palieka pažeistas pinigines. Šiuolaikinės analizės priemonės leidžia sekti pervedimus per keletą žingsnių, identifikuoti galimas centrinio keitimo (CEX) deponavimo vietas, ar nustatyti, ar lėšos buvo perduotos į žinomus „mixing“ ar „tumbler“ paslaugų adresus. Tačiau atakuotojai taip pat naudoja sudėtingas strategijas: dalina lėšas į šimtus mažesnių pervedimų, keičia juos į kitus tokenus ar grandines per decentralizuotus tiltus (bridges), arba naudoja įvairias privačias mainų paslaugas, kad padidintų anonimiškumą.

Forensikos rezultatai padeda vyriausybėms ir teisėsaugai suprasti įvykį, o CEX gali remtis šiais duomenimis blokuodamos įtartinas įplaukas ar įgyvendindamos „know-your-customer“ (KYC) procedūras, siekiant užkirsti kelią plėtrai. Tačiau yra ir techninių bei teisinio pobūdžio iššūkių — dalis atakų grandinėje gali būti perkelta į jurisdikcijas, kurios nėra linkusios bendradarbiauti, arba atakuotojas gali iš anksto suplanuoti lėšų išbarstymą per kelių grandinių mechanizmus.

Praktiniai patarimai vartotojams ir protokolams

Vartotojams, kurie naudojo Step Finance įrankius arba turi STEP žetonų ar Solana (SOL), rekomenduojami keli žingsniai:

  • Patikrinti savo piniginių ryšius su Step Finance: atšaukti leidimus (revoke approvals), jei kyla įtarimų dėl neįprastų privilegijų.
  • Saugoti privačius raktus ir seed frazes offline; naudoti patikimas hardware pinigines (hardware wallets).
  • Stebėti savo sąskaitas grandinės analizės įrankiais ir įsidiegti alerts paslaugas, kurios praneša apie neįprastus pervedimus.
  • Dėl reikšmingų pozicijų apsvarstyti diversifikaciją ir likvidumo valdymo strategijas, kad būtų sumažintas vieno projekto rizikos poveikis.

Protokolams rekomenduojama:

  • Spartus incidentų valdymo plano (Playbook) parengimas, aiškiai numatant komunikacijos kanalus su reguliatoriais, bendruomene ir partneriais.
  • Įdiegti kelias nepriklausomas saugumo patikras (auditus) ir naudoti automatizuotus monitoring sprendimus, kurie stebi kritines privilegijuotas funkcijas ir iždo balansus.
  • Užtikrinti, kad iždo valdymas būtų decentralizuotas, o kryptys tokios kaip multisig, trečiųjų šalių custody ar HSM būtų aiškiai dokumentuotos ir periodiškai tikrinamos.

Tinkamas koordinavimas su onchain saugumo įmonėmis, tokiais kaip CertiK ar Kerberus, bei kiti pramonės specialistai yra būtinas siekiant greičiau nustatyti atakos mechaniką ir sumažinti tolesnę žalą.

Išvados ir ko tikėtis toliau

Step Finance incidentas yra reikšmingas priminimas, kad net didesnės ir gerai žinomos platformos Solana DeFi ekosistemoje gali susidurti su kritinėmis saugumo spragomis. Šiuo etapu svarbiausia yra skaidrus tyrimas, operatyvi bendruomenės komunikacija ir techninių bei teisiniu žingsnių derinys siekiant atkurti pasitikėjimą. Bendruomenė ir dalyviai turi stebėti oficialius Step Finance pranešimus, forensikos ataskaitas ir bet kokius teisinių ar techninių priemonių pasiūlymus, kurie gali padėti minimalizuoti ilgalaikes pasekmes.

Galiausiai, tokių incidentų poveikis DeFi saugumo kultūrai gali būti dviprasmiškas: iš vienos pusės — toks įvykis didina rizikos suvokimą ir skatina griežtesnes saugumo procedūras, iš kitos — jis gali trumpalaikiai silpninti vartotojų pasitikėjimą greitai augančioje ekosistemoje. Profesionali, greita ir atvira reakcija bei ilgalaikės saugumo investicijos gali būti lemiami faktoriai, padėsiantys projektui atkurti reputaciją ir tęsti veiklą ilguoju laikotarpiu.

Šaltinis: cointelegraph

Palikite komentarą

Komentarai

Susijusios straipsniai