Thực hiện các biện pháp đặc biệt sau khi một lỗ hổng quan trọng được tiết lộ bởi các nhà nghiên cứu an ninh từ dWallet Labs.
Lỗ hổng, liên quan đến thư viện mã nguồn mở Tailon, được phát hiện vào tháng 7 năm 2023 và đã được InfStones báo cáo và giải quyết. Tuy nhiên, sự kiện này đã dẫn đến việc áp dụng các biện pháp an ninh phòng ngừa.
Lido Finance xác nhận lỗ hổng liên quan đến khả năng truy cập ở cấp độ gốc có ảnh hưởng đến 25 máy chủ xác thực của InfStones. Tuy nhiên, Lido làm rõ rằng không có bằng chứng về rò rỉ khóa hoặc lợi dụng nào xuất hiện do vấn đề này.
“Để làm rõ: Hiện tại không có dấu hiệu nào về rò rỉ hoặc chiếm đóng khóa, và lỗ hổng có thể không ảnh hưởng đến các bộ xác thực liên quan đến giao thức Lido,” thông báo của họ nói.
Trong bản báo cáo an ninh của mình, dWallet Labs khẳng định rằng lỗ hổng có thể đã kích thích một vụ vi phạm an ninh ảnh hưởng đến ETH được gửi qua các nút của InfStones trên Lido. Do đó, họ đề xuất việc xoay các khóa xác thực cho tất cả các nút có thể bị ảnh hưởng bởi lỗ hổng.
Phản ứng của InfStones
InfStones cho biết vấn đề được đưa ra bởi dWallet chỉ ảnh hưởng đến một phần nhỏ của cơ sở hạ tầng của họ, với dưới 0.1% của hệ thống thông qua một cổng mạng cụ thể có vấn đề. Do đó, họ ám chỉ rằng số nút xác thực bị ảnh hưởng là rất nhỏ.
“Các trường hợp (máy chủ) được xác định trong môi trường sản xuất chiếm một tỷ lệ dưới 0,1% so với số lượng nút trực tiếp chúng tôi đã triển khai cho đến nay. Chúng tôi đã phát hiện ra rằng ngoại vi, thông qua một cổng 55555 mở cho Tailon, có thể bắt chước quyền xem và truy cập một phần dữ liệu phát triển và thử nghiệm,” InfStones nói.
Mặc dù không có thông tin chắc chắn về việc rò rỉ khóa, InfStones đã đồng ý rút các bộ xác thực của mình và chuyển sang các khóa mới, chờ sự chấp thuận của quản trị, Lido Finance thêm vào. Ether trước đây đã được gửi cọc trên các bộ xác thực có thể bị ảnh hưởng dự kiến sẽ được định tuyến vào giao thức Lido để đảm bảo sự liên tục và ổn định.