교차 체인 브리지 다중 서명 권한이 교체되었습니다. Celo는 어떻게 되었습니까?
텍스트
11월 23일 베이징 시간 저녁, F2Pool의 설립자 Shenyu는 웨이보에 보안 조직 Rugdoc의 위험 경고를 다시 게시했습니다. 크로스체인 브릿지(옵틱스)는 다른 것으로 대체되었습니다." 네, 문제가 있는 것 같습니다. 위험을 줄이는 방법은 Celo 체인에 있는 다른 자산을 Celo에 매각하는 것입니다. 팔고 손실은 몇 포인트입니다. 도박을할지 손실을 막을 지 모두가 스스로 위험을 판단합니다. 힘이 있으면 차익 거래도 할 수 있습니다. 용기가 있다면.”
Celo의 개발팀인 cLabs의 CEO인 Tim Moreton의 이벤트 설명에 따르면성명,성명GovernanceRouter 컨트랙트에서 누군가가 Optics 복구 모드를 일방적으로 활성화하여 다중 서명 권한이 대체되었습니다.브릿지 서비스는 정상이었지만 이 작업으로 인해 Optics 프로토콜이 복구 관리자 계정에 의해 완전히 제어되었습니다.원래 다중 서명 권한은 또한 재정의됩니다.
그러나 Tim은 브리지에 잠긴 자금(현재 4천만 달러 이상 잠김)에 대한 위험이 없다고 생각합니다.
Tim이 공개한 온체인 거래 기록을 보면 사건이 실제로 25일 전인 10월 29일에 발생했음을 알 수 있습니다. 4월 22일에야 커뮤니티에 상황이 공개되었습니다.
특히 Tim은 다중 서명 권한을 대체하는 기술적 근거를 설명하는 것 외에도 cLabs에서 해고된 전 수석 개발자 James Prestwich도 언급했습니다. Tim은 James가 잘못된 행동으로 해고된 지 15분 후에 수리 모드가 활성화되었으며 Optics 배포 중에 James가 수리 주소가 포함된 구성에 대한 풀 요청을 생성하고 이 주소를 확인하고 비용 상환을 요청했다고 주장합니다. Tim은 또한 문제를 발견한 이후 cLabs가 문제를 해결하기 위해 James에게 접근하기 위해 가능한 모든 것을 시도했지만 지금까지 성공하지 못했다고 말했습니다.
그러나 James 자신은 Tim의 "고발"에 다음과 같이 응답했습니다. 변호사의 조언에 따라 지금은 아무 말도 하지 않겠습니다."
분명히 Tim과 James는 서로 모순되고 있으며 둘 다 거짓말을 하지 않는다면 누가 실제로 복구 모드를 활성화했습니까?
사건 이후 커뮤니티에서도 온체인 기록을 통해 조사에 착수했는데, 커뮤니티 회원 @diwu1989는 수리 모드를 활성화한 마지막 트랜잭션(트랜잭션 해시: 0x8b1e0ca5f32c08e0afe64f0ab42204e3519712fe3bba0eeedeece56ccbf49461)에서 수리 관리 주소가 "0x3d93300149"에서 변경되었다고 지적했습니다. 52bf0 a3863feb7a657bffa5c9d40b9"는 수정은 "0x2f4bea4cb44d0956ce4980e76a20a8928e00399a"(생성 트랜잭션 해시: 0xd224025870298fea9877880b)에서 생성된 "0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4"가 되었습니다. 89 b24ed0569c41d3dd147e6afec5ac41da4d098e)이므로 문제의 핵심은 0x2f의 시작 부분에서 주소를 찾는 것입니다.
또 다른 커뮤니티 회원인 @Ryan은 이러한 생각을 따라 조사를 계속했고 이 주소가 현재 PARTY 토큰을 보유하고 있는 몇 안 되는 주소 중 하나이기 때문에 이 주소가 다른 프로젝트인 PartyDAO와 관련되어 있음을 발견했습니다. 프로젝트에 연락할 수 있다면 가능할 수도 있습니다. 그 정체를 알기 위해.
커뮤니티 회원 @Deepcryptodive도 0x2f로 시작하는 주소의 자금은 0x2a98로 시작하는 Kucoin 주소에서 나오며 이 사람의 신원도 Kucoin의 KYC 시스템을 통해 알아내야 한다고 지적했습니다.
많은 사람들의 공동 조사 끝에 마침내 진실이 밝혀졌습니다 탈 중앙화 콘텐츠 플랫폼 Mirror의 주소 비고에 따르면 0x2f로 시작하는 주소의 자금은 Anna라는 사람의 소유이므로 Anna가 활성화됩니다. 수리 모드 사람?대답은 '예'인 것 같습니다. 커뮤니티 사용자는 Github 레코드에서 확인했습니다.
정확히 26일 전, 동일한 아바타와 이름을 가진 커뮤니티 개발자(Anna)가 Github에서 광학 수리 모드의 시간 잠금에 대한 버그를 보고했습니다. 보다 안전한 다중 서명 주소. 또한 역사적인 제출 코드에서 Anna는 PartyDAO 개발에 참여했습니다.
현재까지는 기본적으로 진실이 밝혀진 상태이며, 체인 상의 주소도 정확하고, 보고서에 언급된 취약점과 해결방안도 이번 사건과 일치하므로, 기본적으로 수리를 발동한 것은 Anna였다고 판단할 수 있습니다. 옵틱스 모드이며 마스터 계정 복구 확률이 높으며 Anna의 제어하에 있습니다.그러나 상황의 맥락이 명확해졌지만 일부 커뮤니티 회원들은 CELO와 cLabs가 문제를 처리하는 방식에 만족하지 않습니다.
Celo의 개발팀으로서 cLabs는 그 어떤 외부 조사자보다 이 문제에 대해 더 잘 알고 있어야 하지만 Tim의 진술은 명확한 설명을 제공하지 않고 대신 근거 없는 추측을 하고 해고된 개발자 James에게 지목했습니다.
또한 일부 다른 커뮤니티 구성원도 "브리지의 자금은 위험하지 않다"는 Tim의 진술에 상당히 불만을 나타냅니다. Tim의 설명에서 계약의 현재 통제권이 분명히 cLabs 또는 다른 알려진 커뮤니티에 있지 않다는 것을 추론할 수 있기 때문입니다. 일방적으로 "자금은 위험하지 않다"고 주장하는 것은 지극히 무책임한 일이다.
Twitter big V @Monet Supply는 이 문제에 대해 팀이 저지른 세 가지 실수를 요약했습니다.
애플리케이션이 실행되기 전에 아무도 배포된 계약을 확인하지 않습니다.
커뮤니티에 공개하지 않고 25일 늦게
Tim의 으스스한 진술(우리는 계약에 대한 통제권을 잃었지만 자금은 안전합니다...).
Monet Supply는 마침내 이 모든 것이 Celo 내부 관리의 혼란 때문이라고 생각했으며 따라서 CELO에 약세를 보일 것이라고 말했습니다.
어젯밤 커뮤니티의 공황과 불만을 진정시키기 위해 Celo는 공식적으로 AMA 대화를 조직하고 공식 포럼에서 문제를 다시 설명했습니다. 이번에는 cLabs를 대표하여 CEO인 Tim이 아닌 Eric과 Marek이라는 다른 두 명의 개발자가 발언했습니다.새로운 성명서에는 몇 가지 주요 정보가 나와 있습니다.여기에는 Optics 계약에 대한 특정 감사를 수행하고 이를 커뮤니티에 공개하는 것은 물론 Optics V2 릴리스를 통해 사용자 자금을 마이그레이션하는 것이 포함됩니다.
마렉은 또 "우리는 이번 사건을 통해 분명히 배울 것이며 무엇이 잘못되었고 왜 잘못되었는지 계속 분석할 것"이라며 "이를 위해 최대한 빠른 시일 내에 전체 사건 검토 보고서를 발간할 계획"이라고 말했다.
그게 다이고 많은 세부 사항은 Marek이 언급한 보고서가 공개될 때까지 기다려야 하지만(예: Anna와 cLabs 간에 통신이 없는 것 같은 이유는 무엇입니까? 수리 관리자 계정은 여전히 Anna의 통제하에 있습니까?) 상황은 대체로 명확하다.
전체적으로 이번 "Optics 보안 사건"은 어느 정도의 "오경보"를 가지고 있습니다. 커뮤니티 개발자로서 Anna의 다중 서명 교체 목적은 악을 행하는 것보다 버그 수정에 가깝습니다. 이것이 Optics가 손실이 없는 이유입니다. 자금의 발생. 그러나 모든 것이 너무 낙관적이지 않아야 하며 사건이 완전히 종결되기 전에 단기적으로 Optics 사용 빈도를 최소화하는 것이 좋습니다. Celo 생태학, 또는 Shenyu가 제안한 대로 브리지 자산을 CELO로 전환한 다음 중앙 집중식 교환을 사용하여 출입합니다.
