Các điểm chính:
Sàn giao dịch phi tập trung Orca trên Solana đã chủ động thay đổi tất cả thông tin xác thực triển khai front-end sau khi nhà cung cấp dịch vụ lưu trữ của họ, Vercel, tiết lộ một sự cố bảo mật liên quan đến việc truy cập trái phép vào các hệ thống nội bộ. Tiền trên chuỗi không bị ảnh hưởng.
"Tất cả các thông tin xác thực và khóa triển khai có khả năng bị xâm nhập đã được thay đổi," Orca cho biết trong một thông báo chính thức, xác nhận tính bảo mật của giao thức trên chuỗi và tiền của người dùng.
Việc vi phạm chỉ giới hạn trong các hệ thống nội bộ của Vercel, ảnh hưởng đến cơ sở hạ tầng triển khai front-end thay vì các hợp đồng thông minh cốt lõi của Orca. Vercel là một nền tảng phổ biến được nhiều dự án Web3 sử dụng, bao gồm cả giao diện front-end của Aave và Synthetix, để lưu trữ các giao diện hướng tới người dùng.
Sự cố này làm nổi bật một lỗ hổng quan trọng trong hệ sinh thái ứng dụng phi tập trung: sự phụ thuộc vào các dịch vụ bên thứ ba tập trung để lưu trữ front-end. Mặc dù phản ứng nhanh chóng của Orca đã ngăn chặn mọi tổn thất về tiền, nhưng sự việc có thể kích hoạt các cuộc kiểm tra bảo mật trên các dự án DeFi khác và tạo ra tâm lý thận trọng ngắn hạn cho người dùng về rủi ro ở cấp độ giao diện.
Sự cố bảo mật bắt nguồn từ Vercel, một nền tảng đám mây cung cấp cho các nhà phát triển các công cụ để xây dựng và triển khai các ứng dụng web. Theo tiết lộ ban đầu, sự cố liên quan đến việc truy cập trái phép vào hệ thống nội bộ của công ty. Điều này đã thúc đẩy một cảnh báo bảo mật cho tất cả khách hàng, bao gồm nhiều dự án tiền điện tử và DeFi nổi tiếng sử dụng dịch vụ cho các trang web của họ.
Để ứng phó, đội ngũ Orca đã ngay lập tức hành động để giảm thiểu mọi mối đe dọa tiềm tàng đối với người dùng của mình. Bằng cách thay đổi tất cả thông tin xác thực triển khai—về cơ bản là thay ổ khóa trên cơ sở hạ tầng front-end của họ—giao thức đảm bảo rằng ngay cả khi kẻ tấn công có được các khóa cũ thông qua vụ vi phạm Vercel, chúng cũng không thể được sử dụng để thao túng trang web của Orca hoặc chuyển hướng các giao dịch của người dùng.
Việc phân biệt giữa vi phạm front-end và vi phạm back-end hoặc hợp đồng thông minh là rất quan trọng. Logic cốt lõi và tiền của người dùng của Orca được bảo mật bằng các hợp đồng thông minh trên chuỗi khối Solana, vốn chưa bao giờ gặp rủi ro. Lỗ hổng tiềm ẩn chỉ giới hạn ở giao diện người dùng, nơi một kẻ tấn công về mặt lý thuyết có thể đã triển khai một phiên bản trang web độc hại để lừa đảo lấy thông tin xác thực của người dùng hoặc lừa họ ký các giao dịch độc hại.
Sự cố đóng vai trò như một lời nhắc nhở rõ ràng về những thách thức an ninh hoạt động mà không gian DeFi đang phải đối mặt. Mặc dù các giao thức có thể phi tập trung và được bảo mật trên chuỗi, khả năng tiếp cận của chúng thường phụ thuộc vào cùng một cơ sở hạ tầng web tập trung như các công ty truyền thống, tạo ra các điểm lỗi tiềm ẩn. Sự việc có thể dẫn đến việc tăng cường giám sát các nhà cung cấp dịch vụ bên thứ ba và thúc đẩy các giải pháp lưu trữ front-end phi tập trung hơn trong cộng đồng tiền điện tử.
Bài viết này chỉ mang tính chất cung cấp thông tin và không cấu thành lời khuyên đầu tư.
