Lido Selidiki Kompromi Kunci Oracle, DAO Usulkan Rotasi Kunci Darurat

Pendiri keuangan terdesentralisasi (DeFi) platform pelacakan nilai total terkunci (TVL) DefiLlama , 0xngmi mencatat di platform media sosial X bahwa telah terjadi pelanggaran keamanan yang melibatkan salah satu alamat yang terkait dengan Lido dompet multitanda tangan oracle. 

Para penyerang menarik sekitar 1.4 ETH dari alamat yang disusupi, sebuah tindakan yang mengungkap akses tidak sah. Mengingat insiden tersebut, diusulkan agar menyimpan sejumlah kecil token yang mudah dilacak dalam dompet multisig dapat berfungsi sebagai mekanisme peringatan dini dasar, yang berpotensi menandakan adanya aktivitas tidak sah.

Pada tanggal 10 Mei, Lido melaporkan bahwa salah satu alamat oracle yang dioperasikan oleh Chorus One telah disusupi dan saldo ETH-nya ditarik. Insiden tersebut terungkap setelah seorang kontributor Lido menyelidiki peringatan saldo rendah, yang mengarah pada identifikasi aktivitas tidak biasa yang melibatkan kunci yang terkait dengan Lido Oracle yang dioperasikan oleh Chorus One. Kunci ini, yang telah digunakan sejak dibuat pada tahun 2021, dikosongkan dalam semalam. Meskipun penyebab pasti pelanggaran tersebut belum ditentukan, penilaian awal menunjukkan bahwa hal itu mungkin disebabkan oleh kebocoran kunci pribadi di masa lalu, bukan kegagalan infrastruktur yang aktif atau sedang berlangsung.

Setelah penemuan tersebut, kontributor Lido menghubungi Chorus One untuk konfirmasi dan memulai penyelidikan formal. 

Menanggapi insiden tersebut, Lido DAO mengusulkan tindakan darurat untuk merotasi kunci oracle yang disusupi yang digunakan dalam beberapa kontrak penting, termasuk komponen HashConsensus dari Accounting Oracle, Validators Exit Bus Oracle, dan CS Fee Oracle. Pemungutan suara komunitas atas proposal ini saat ini sedang berlangsung dan akan berlanjut hingga 16 Mei.

Menurut Lido, protokol staking tetap aman dan beroperasi penuh. Tidak ada dampak yang terlihat pada dana pengguna atau sistem yang lebih luas. Arsitektur oracle, yang memerlukan kuorum minimal lima dari sembilan partisipan, tetap utuh. Semua node oracle lainnya telah diperiksa tanpa indikasi adanya penyusupan, dan tidak ada bukti yang menunjukkan masalah keamanan yang lebih luas yang memengaruhi Chorus One.

Protokol Lido Meningkatkan Liquid Staking dengan Infrastruktur Oracle untuk Manajemen Aset yang Aman dan Fleksibel

Lido Protokol ini memungkinkan peserta untuk mempertaruhkan aset digital tanpa mengharuskan mereka untuk mengunci kepemilikan mereka atau mengoperasikan node validator mereka sendiri. Sebagai imbalannya, pengguna menerima token staking likuid, yang berfungsi sebagai representasi dari aset yang dipertaruhkan dan mengumpulkan imbalan staking dari waktu ke waktu. Token ini dapat digunakan dalam ekosistem keuangan terdesentralisasi untuk berbagai keperluan, seperti pinjaman, perdagangan, atau agunan, yang menawarkan fleksibilitas sementara aset asli tetap dipertaruhkan.

Komponen utama arsitektur Lido adalah sistem oracle-nya, yang memainkan peran utama dalam menjaga keakuratan data antara lapisan konsensus dan eksekusi Ethereum. Sistem ini mencakup kontrak pintar on-chain dan operasi off-chain yang dikelola oleh entitas terpilih. Di antara kontrak pintar yang terlibat, AccountingOracle mengumpulkan masukan dari sumber off-chain mengenai saldo validator, metrik operasional, dan dana brankas, yang mendukung fungsi seperti pembaruan saldo, penarikan, dan distribusi hadiah. Komponen ValidatorsExitBus melacak data yang terkait dengan validator yang memilih untuk keluar secara sukarela, yang membantu mengoordinasikan proses transisi dan penarikan.

Setiap operator oracle dalam ekosistem Lido diberi alamat Ethereum yang unik, yang memberikan kemampuan untuk mengirimkan data ke kontrak-kontrak ini. Masukan ini penting untuk menjaga operasi yang terkini dan aman di seluruh infrastruktur staking.