Sky Faces lo ngại về bảo mật đối với khoản lưu giữ trị giá 756 triệu USDC trong Lite PSM

by

Là một nhà đầu tư tiền điện tử có kinh nghiệm, tôi thấy mình vô cùng lo lắng về những tiết lộ gần đây xung quanh Sky (trước đây là MakerDAO) và tính bảo mật của 756 triệu USDC được nắm giữ trong Lite PSM của nó. Việc phụ thuộc vào tài khoản thuộc sở hữu bên ngoài (EOA), như người dùng Will Morris nhấn mạnh, gây ra những rủi ro không cần thiết có thể dẫn đến “kéo thảm” hoặc khai thác.

Trước đây được gọi là MakerDAO, tổ chức này đã thu hút sự chú ý do lo ngại về sự an toàn của khoảng 756 triệu USD USDC, hiện được lưu trữ trong “Mô-đun ổn định Lite Peg” của họ.

Ban đầu, Will Morris đã thu hút sự chú ý đến một số vấn đề, chỉ ra rằng cấu trúc PSM nhẹ phụ thuộc vào tài khoản bên ngoài (EOA) để quản lý một lượng lớn USDC. Như Morris đã giải thích, cấu hình này có thể khiến quỹ dễ bị tấn công, thường được gọi là “sự kéo thảm”. Vấn đề chính nằm ở chỗ chủ sở hữu tài khoản EOA có quyền rút tiền vô hạn bất cứ khi nào họ muốn, điều này có thể gây nguy hiểm cho tính bảo mật của tài sản.

Lỗ hổng bảo mật trong thiết kế lưu ký

Morris cho rằng việc ủy ​​thác quyền giám hộ cho Tài khoản thuộc sở hữu bên ngoài có thể làm tăng các lỗ hổng bảo mật một cách không cần thiết. Thay vào đó, ông đề xuất sử dụng hợp đồng thông minh vì chúng có thể cung cấp các biện pháp an toàn nâng cao.

Morris tuyên bố rằng theo quan điểm của ông, thiết kế trước đó cho phép PSM nắm giữ USDC trực tiếp mà không yêu cầu tài khoản đặc quyền. Ông ủng hộ một hệ thống trong đó PSM quản lý USDC của riêng mình, loại bỏ nhu cầu truy cập từ bên ngoài có thể gây rủi ro cho tiền vì nó có khả năng bị xâm phạm.

Trong tình huống này, phương pháp bảo mật duy nhất cho EOA (Tài khoản thuộc sở hữu bên ngoài) là nếu giao dịch phê duyệt USDC được ký bằng phương pháp của Nick. Tuy nhiên, có vẻ như không phải vậy. Để nâng cao tính minh bạch, sẽ rất thuận lợi nếu có một hợp đồng thông minh chỉ xử lý quy trình phê duyệt.

— wjmelements (@willmorriss4) Ngày 6 tháng 12 năm 2024

Hơn nữa, Morris tiết lộ rằng ông đã nộp đơn khiếu nại về một lỗi đáng ngờ với Immunefi, một dịch vụ blockchain phổ biến chuyên phát hiện sai sót trong hợp đồng thông minh. Đáng tiếc là báo cáo của ông đã bị từ chối vì các vấn đề liên quan đến tài khoản đặc quyền không thuộc phạm vi quan tâm của họ.

Morris đề cập rằng anh ấy đã gửi báo cáo lỗi về Immunefi, nhưng nó được đánh dấu là đã được giải quyết vì vấn đề chỉ ảnh hưởng đến các tài khoản đặc quyền và những sự cố như vậy nằm ngoài phạm vi của họ,” (diễn giải)

Sid Ramesh của Coinbase phản hồi

Tham gia cuộc đối thoại, Sid Ramesh, người giữ vị trí Trưởng nhóm sản phẩm và người tiêu dùng trực tuyến tại Coinbase, đã cung cấp những hiểu biết sâu sắc của mình. Mặc dù thông cảm với những lo lắng của Morris, nhưng Ramesh nói rõ rằng anh không phải là người thích hợp để thảo luận về vai trò của Coinbase trong trường hợp cụ thể này.

Ông nhấn mạnh rằng Coinbase tuân theo các quy trình và kiểm toán nghiêm ngặt đối với công nghệ tính toán đa bên (MPC). Tuy nhiên, tuyên bố của ông đã mở ra khả năng làm rõ thêm về vai trò của Coinbase, gợi ý rằng nhiều thông tin hơn có thể được chia sẻ sau này. Tweet nhúng.

Là một nhà nghiên cứu đi sâu vào lĩnh vực này, gần đây tôi đã biết được một tin tức hấp dẫn: Rune Christensen, một trong những người đồng sáng lập của Sky, đã tiết lộ với Cointelegraph rằng trong quá trình thiết lập ban đầu của tài khoản MPC với Coinbase Custody, các khóa riêng tư cần thiết để thiết lập lại tài khoản đã bị cố ý phá hủy.

Khi Sky giải quyết các vấn đề bảo mật, nó đồng thời trải qua những biến đổi lớn trong khuôn khổ kinh tế của mình. Người đồng sáng lập Christensen đã đề xuất áp dụng hệ thống giảm phát, chấm dứt hiệu quả việc tạo ra các token mới. Thay vào đó, trọng tâm sẽ là phá hủy những cái hiện có, một động thái mà ông cho rằng sẽ củng cố giao thức và phù hợp chặt chẽ hơn với thiết kế phân phối mã thông báo ban đầu.

2024-12-06 21:21