クロスチェーンブリッジのマルチ署名機関が置き換えられましたが、Celo はどうなりましたか?
文章
北京時間11月23日夜、F2Poolの創設者であるShenyu氏は、セキュリティ組織Rugdocのリスク警告をWeiboに再投稿し、次のように述べた。「Celoチェーンでマイニングを行っている場合は、 「はい、問題があるようです。リスクを軽減する方法は、Celo チェーン上の他の資産を Celo に売却することです。現時点では、Celo チェーン上の他の資産を売却することです。」 」
Celo の開発チームである cLabs の CEO、ティム・モートン氏によるイベントの説明によると、声明,声明誰かが GovernanceRouter コントラクトで光学リカバリ モードを一方的にアクティブ化したため、マルチシグネチャ アクセス許可が置き換えられました。ブリッジ サービスは正常でしたが、この操作により、光学プロトコルがリカバリ マネージャー アカウントによって完全に制御されるようになりました。元のマルチシグネチャ アクセス許可は、もオーバーライドされます。
しかし、ティムは橋にロックされている資金 (現在ロックされている資金は 4,000 万ドル以上) にはリスクがないと考えています。
ティムが開示したオンチェーントランザクション記録から、この事件は実際には 25 日前の 10 月 29 日に起こったことがわかります。つまり、10 月 29 日以降、Optics は修復モードになっていますが、cLabs チームは修復モードになっていませんでした。 11 日までに修正してください。この状況がコミュニティに公開されたのは 4 月 22 日でした。
最も注目すべきは、ティム氏がマルチシグネチャ権限の置き換えの背後にある技術的根拠を説明することに加えて、cLabs から解雇された元上級開発者の James Prestwich についても言及したことです。 Tim は、James が不正行為により解雇されてから 15 分後に修復モードが有効になり、Optics の展開中に、James が修復アドレスを含む構成のプル リクエストを作成し、このアドレスの確認と経費の払い戻しを要求したと主張しています。ティム氏はまた、問題の発見以来、cLabs は問題を解決するためにジェームス氏にアプローチするために可能な限りすべてのことを試みたが、今のところ成功していないと述べた。
しかし、ジェームス自身はティムの「告発」に対して「私は決して光学系修復モードのキーホルダーではなかった。cLabsとCeloがいじめを公にすることを選んだことに失望している。彼らは私の評判を偽って攻撃している。弁護士のアドバイスに従って、現時点では何も言いません。」
ティムとジェームスは明らかに矛盾しています。どちらも嘘をついていないとしたら、実際に修復モードを有効にしたのは誰でしょうか?
インシデント後、コミュニティはオンチェーン記録を通じて調査も開始し、コミュニティメンバーの @diwu1989 は、修復モードを有効にした最後のトランザクション (トランザクション ハッシュ: 0x8b1e0ca5f32c08e0afe64f0ab42204e3519712fe3bba0eeedeece56ccbf49461) で、修復管理アドレスが「0x3d933001495」から変更されたことを指摘しました。 2bf0 a3863feb7a657bffa5c9d40b9" でした変更された内容は「0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4」となり、「0x2f4bea4cb44d0956ce4980e76a20a8928e00399a」から作成されました(作成トランザクションハッシュ:0xd224025870298fea9877880b89 b 24ed0569c41d3dd147e6afec5ac41da4d098e) したがって、問題の鍵は 0x2f の先頭にあるアドレスを見つけることです。
別のコミュニティ メンバーである @Ryan は、この考え方に沿って調査を続け、このアドレスは現在 PARTY トークンを保持している数少ないアドレスの 1 つであるため、このアドレスが別のプロジェクト PartyDAO に関連していることを発見しました。その正体を知るために。
コミュニティメンバーの @Deepcryptodive は、0x2f で始まるアドレスの資金は 0x2a98 で始まる Kucoin アドレスから来ており、この人物の身元も Kucoin の KYC システムを通じて判明する必要があると指摘しました。
多くの人々の共同調査により、ついに真実が明らかになりましたが、分散型コンテンツプラットフォームであるMirrorのアドレス発言によると、0x2fで始まるアドレスの資金はAnnaという人物のものであるため、起動したのはAnnaということになります。修復モードの人?答えは「はい」のようです。コミュニティ ユーザーが Github の記録から確認したところ、
ちょうど 26 日前、同じアバターと名前 (Anna) を持つコミュニティ開発者が、光学修復モードのタイム ロックに関するバグを Github で報告しました。バグを修正するには、修復モードをアクティブにして、それをより安全なマルチ署名アドレス。さらに、歴史的な提出コードから、Anna は PartyDAO の開発に参加していました。
これまでのところ、基本的に真相は明らかになっているが、チェーン上のアドレスは正しく、報告書に記載されている脆弱性や解決策も今回の事件と一致しているため、修復を起動したのは基本的にアンナであると判断できる。 Optics のモードであり、管理アカウントが修復される可能性が高いです。アンナの管理下にあります。ただし、状況の背景は明らかになりましたが、一部のコミュニティ メンバーは CELO と cLabs のこの問題への対応方法に満足していません。
Celo の開発チームとして、cLabs は外部調査員よりもこの問題の詳細をよく知っているはずですが、ティム氏の声明では明確な説明はなく、根拠のない推測を述べ、解雇された開発者のジェームス氏を非難しました。
さらに、他のコミュニティメンバーの中にも、「橋の上の資金は危険にさらされていない」というティムの発言に非常に不満を抱いている人もいます。ティムの説明から、契約の現在の管理は明らかにcLabsや他の既知のコミュニティにはないことが推測できるためです。一方的に「資金は危険にさらされていない」と主張するのは無責任極まりない。
Twitter の big V @Monet Supply は、この件に関してチームが犯した 3 つの間違いを次のように要約しています。
アプリケーションが稼働する前に、デプロイされたコントラクトをチェックする人は誰もいません。
コミュニティに何も開示せずに 25 日遅れた。
ティムの不気味な発言 (私たちは契約の制御を失ったが、資金は安全です...)。
Monet Supply は最終的に、これらすべては Celo の内部管理の混乱のせいだとし、したがって CELO に対して弱気の姿勢をとるだろうと述べた。
昨夜、コミュニティのパニックと不満を鎮めるために、Celoは正式にAMAダイアログを開催し、公式フォーラムでこの問題を再度説明しました。今回、cLabs を代表して発言したのは CEO の Tim ではなく、他の 2 人の開発者、Eric と Marek でした。新しい声明ではいくつかの重要な情報が明らかになりました。これには、Optics 契約の特定の監査を実施してコミュニティに公開すること、また Optics V2 のリリースを通じてユーザー資金を移行することが含まれます。
マレク氏はまた、「我々はこの事件から間違いなく学び、何が問題だったのか、なぜ問題が起こったのか分析を続けていく。そのために、我々はできるだけ早く完全な事件レビュー報告書を発表するつもりだ」とも述べた。
以上です。詳細の多くは、Marek 氏が言及したレポートがリリースされるまで待つ必要がありますが (Anna と cLabs の間で通信がないように見えるのはなぜですか? 修復管理アカウントはまだ Anna の管理下にあるのでしょうか?)、基本的なことはわかります。状況はほぼ明らかになっています。
全体として、この「Optics のセキュリティ インシデント」には、ある程度の「誤報」があります。コミュニティ開発者として、マルチシグを置き換えるアンナの目的は、悪事を行うというよりも、バグを修正することに近いです。これが、Optics に損失がない理由です。の資金が発生します。ただし、すべてが楽観的になるべきではありません。インシデントが完全に解決される前に、短期的には光学機器の使用頻度を最小限に抑えることをお勧めします。クロスチェーンのニーズがある場合は、 Celo エコロジー、または Shenyu が提案したように、ブリッジ資産を CELO に変換し、集中型取引所を使用して出入りします。
