ads
bc-game

SecondFi definisce un piano per restituire US$ 2,4 milioni dopo l'attacco al portafoglio Cardano

3 min lettura
PortalCripto
SecondFi definisce un piano per restituire US$ 2,4 milioni dopo l'attacco al portafoglio Cardano
Fonte: Sora Shimazaki/Pexels — SecondFi definisce un piano per restituire US$ 2,4 milioni dopo l'attacco al portafoglio Cardano
Publicidade

EMURGO, una delle organizzazioni fondatrici della blockchain Cardano, ha annunciato di aver definito un piano per recuperare le risorse perse nell'attacco che ha colpito il wallet SecondFi. Secondo l'azienda, l'aspettativa è di concludere il processo di restituzione dei fondi in circa due settimane, dopo aver finalizzato lo sviluppo e i test del meccanismo di recupero.

Il comunicato è stato diffuso dal CEO di EMURGO, Phillip Pon, che ha informato che l'indagine forense è già stata conclusa. L'azienda ha affermato di aver convalidato i saldi dei wallet colpiti e di aver identificato quella che ha classificato come "una soluzione di recupero chiara".

Secondo il cronoprogramma presentato, la prima settimana sarà dedicata allo sviluppo dello strumento responsabile del recupero degli asset. In seguito, la soluzione passerà attraverso una fase di test prima che gli utenti possano iniziare a ricevere i valori corrispondenti.

L'azienda ha anche raccomandato ai clienti colpiti di non movimentare i fondi presenti nei wallet compromessi né di realizzare qualsiasi procedura che non faccia parte delle istruzioni ufficiali di SecondFi. Secondo EMURGO, l'intero processo è stato strutturato considerando lo stato attuale dei wallet colpiti dall'incidente.

Phillip Pon ha inoltre ribadito che non è stata avviata alcuna fase che richieda la partecipazione degli utenti. Ha avvertito che SecondFi non richiederà mai chiavi private, frasi seed o qualsiasi altro dato di accesso ai wallet durante il processo di recupero.

L'annuncio rappresenta la prima volta che l'azienda presenta una scadenza concreta per il rimborso degli utenti. Nonostante ciò, non sono ancora stati divulgati dettagli tecnici sul meccanismo di restituzione né la metodologia per calcolare gli importi che ciascun cliente dovrà ricevere.

L'attacco ha colpito 374 wallet

Secondo le informazioni dell'azienda, la vulnerabilità è stata sfruttata tra i giorni 21 e 23 giugno. Tre attacchi esterni hanno comportato la sottrazione di circa 16 milioni di ADA, valutati a circa US$ 2,4 milioni all'epoca, distribuiti tra 374 indirizzi.

Oltre a questi movimenti, SecondFi ha informato di aver effettuato un trasferimento preventivo di circa 129 milioni di ADA a un custode terzo indipendente. La misura aveva l'obiettivo di impedire nuove perdite mentre l'indagine era in corso.

L'azienda ha anche identificato due wallet digitali utilizzati dagli invasori. Uno di essi sarebbe stato responsabile dello svuotamento di 171 wallet, mentre il secondo ne ha colpiti altri 203. Circa 4 milioni di ADA collegati all'attacco rimangono in un indirizzo monitorato dai team responsabili, mentre il caso è già stato comunicato alle autorità.

Il rapporto indica una possibile origine della vulnerabilità

SecondFi ha attribuito il problema a un guasto nel suo software di generazione dei wallet, che avrebbe consentito l'esposizione delle chiavi private durante la firma delle transazioni. Secondo l'azienda, ripristinare una frase di recupero in un altro wallet non elimina il rischio quando l'indirizzo compromesso continua a essere utilizzato.

Un'analisi tecnica indipendente divulgata da Tibane Labs ha presentato una spiegazione più dettagliata. Il rapporto indica che la vulnerabilità non era legata al riutilizzo del nonce, bensì a un errore nell'implementazione della firma Ed25519.

Secondo i ricercatori, un SDK sperimentale chiamato trantor, reso disponibile su npm da uno sviluppatore indipendente, sarebbe stato incorporato al posto della versione auditata utilizzata in precedenza da EMURGO. Con ciò, informazioni che avrebbero dovuto rimanere segrete hanno iniziato a poter essere ricostruite a partire da una singola firma registrata sulla blockchain.

Tibane Labs ha inoltre affermato che la libreria utilizzata è rimasta sicura, ma che l'implementazione adottata dal wallet ha lasciato un parametro essenziale senza definizione, permettendo che le chiavi private fossero recuperate a partire da firme pubbliche.

Fino a questo momento, EMURGO non ha pubblicato un'analisi tecnica dettagliata sull'incidente né ha commentato ufficialmente le conclusioni presentate dal rapporto indipendente. Anche il ricercatore di sicurezza Taylor Monahan ha dichiarato questa settimana che SecondFi "ha sviluppato la propria crittografia" e che il software era a codice chiuso e non auditato.

L'analisi di Tibane Labs indica che solo le firme realizzate a partire dall'8 giugno sarebbero state esposte, mentre le transazioni firmate prima di tale data sono rimaste protette dall'implementazione precedentemente auditata.

Tags