Lido điều tra sự xâm phạm khóa Oracle, DAO đề xuất luân chuyển khóa khẩn cấp

Người sáng lập tài chính phi tập trung (DeFi) nền tảng theo dõi tổng giá trị bị khóa (TVL) DefiLlama , 0xngmi đã lưu ý trên nền tảng truyền thông xã hội X rằng một vi phạm bảo mật đã xảy ra liên quan đến một trong những địa chỉ được liên kết với Lido Ví đa chữ ký của Oracle. 

Những kẻ tấn công đã rút khoảng 1.4 ETH từ địa chỉ bị xâm phạm, một hành động tiết lộ việc truy cập trái phép. Theo sự cố này, người ta đề xuất rằng việc giữ một lượng nhỏ token dễ theo dõi trong ví đa chữ ký có thể đóng vai trò là cơ chế cảnh báo sớm cơ bản, có khả năng báo hiệu bất kỳ hoạt động trái phép nào.

Vào ngày 10 tháng 2021, Lido báo cáo rằng một trong những địa chỉ oracle do Chorus One vận hành đã bị xâm phạm và số dư ETH của nó đã bị rút. Sự cố này được đưa ra ánh sáng sau khi một cộng tác viên của Lido điều tra cảnh báo số dư thấp, dẫn đến việc xác định hoạt động bất thường liên quan đến một khóa được liên kết với Lido Oracle do Chorus One vận hành. Khóa này, đã được sử dụng kể từ khi được tạo ra vào năm XNUMX, đã bị xóa sạch qua đêm. Mặc dù nguyên nhân chính xác của vụ vi phạm vẫn chưa được xác định, nhưng các đánh giá ban đầu cho thấy có thể là do rò rỉ khóa riêng trong quá khứ, thay vì do lỗi cơ sở hạ tầng đang hoạt động hoặc đang diễn ra.

Sau khi phát hiện ra điều này, những người đóng góp cho Lido đã liên hệ với Chorus One để xác nhận và bắt đầu một cuộc điều tra chính thức. 

Để ứng phó với sự cố, Lido DAO đã đề xuất một biện pháp khẩn cấp để xoay vòng khóa oracle bị xâm phạm được sử dụng trong một số hợp đồng quan trọng, bao gồm các thành phần HashConsensus của Accounting Oracle, Validators Exit Bus Oracle và CS Fee Oracle. Một cuộc bỏ phiếu cộng đồng về đề xuất này hiện đang được tiến hành và sẽ tiếp tục cho đến ngày 16 tháng XNUMX.

Theo Lido, giao thức staking vẫn an toàn và hoạt động đầy đủ. Không có tác động nào được ghi nhận đối với tiền của người dùng hoặc hệ thống rộng hơn. Kiến trúc oracle, yêu cầu số lượng người tham gia tối thiểu là năm trong số chín người, vẫn còn nguyên vẹn. Tất cả các nút oracle khác đã được kiểm tra mà không có dấu hiệu nào cho thấy bị xâm phạm và không có bằng chứng nào cho thấy vấn đề bảo mật rộng hơn ảnh hưởng đến Chorus One.

Giao thức Lido nâng cao Liquid Staking với Oracle Infrastructure để quản lý tài sản an toàn và linh hoạt

Lido giao thức cho phép người tham gia đặt cược tài sản kỹ thuật số mà không yêu cầu họ phải khóa tài sản nắm giữ hoặc vận hành các nút xác thực của riêng họ. Đổi lại, người dùng nhận được token đặt cược thanh khoản, đóng vai trò là đại diện cho tài sản đã đặt cược của họ và tích lũy phần thưởng đặt cược theo thời gian. Các token này có thể được sử dụng trong hệ sinh thái tài chính phi tập trung cho nhiều mục đích khác nhau, chẳng hạn như cho vay, giao dịch hoặc thế chấp, mang lại sự linh hoạt trong khi tài sản gốc vẫn được đặt cược.

Một thành phần chính của kiến ​​trúc Lido là hệ thống oracle, đóng vai trò trung tâm trong việc duy trì độ chính xác của dữ liệu giữa các lớp đồng thuận và thực thi của Ethereum. Hệ thống này bao gồm cả hợp đồng thông minh trên chuỗi và các hoạt động ngoài chuỗi do các thực thể được chọn quản lý. Trong số các hợp đồng thông minh có liên quan, AccountingOracle thu thập dữ liệu đầu vào từ các nguồn ngoài chuỗi về số dư của trình xác thực, số liệu hoạt động và quỹ kho tiền, hỗ trợ các chức năng như cập nhật số dư, rút ​​tiền và phân phối phần thưởng. Thành phần ValidatorsExitBus theo dõi dữ liệu liên quan đến các trình xác thực tự nguyện chọn thoát, giúp điều phối các quy trình chuyển đổi và rút tiền.

Mỗi nhà điều hành oracle trong hệ sinh thái Lido được chỉ định một địa chỉ Ethereum duy nhất, cho phép gửi dữ liệu đến các hợp đồng này. Các đầu vào này rất cần thiết để duy trì các hoạt động cập nhật và an toàn trên toàn bộ cơ sở hạ tầng staking.