Proveedor de oráculos de Lido pierde 1.4 ether tras intento de hackeo

Lido, el protocolo de staking líquido más grande de Ethereum, evitó un incidente de seguridad importante después de que una de sus nueve claves de oráculo se viera comprometida en lo que parece ser una violación de bajo impacto pero grave que involucró al operador de validación Chorus One.

Lido protege más del 25 % de todo el ETH apostado en Ethereum, lo que lo convierte en uno de los protocolos de mayor importancia sistémica en el ecosistema Ethereum.

La clave comprometida estaba vinculada a una billetera caliente utilizada para informes de oráculos, lo que provocó el robo de tan solo 1,46 ETH (US$4.200) en comisiones de gas. Los fondos de los usuarios no se vieron afectados ni se detectó una vulneración mayor, según las publicaciones de X de Lido y Chorus One.

El sistema de oráculos de Lido es una herramienta basada en blockchain que proporciona datos de consenso de Ethereum a los contratos inteligentes de Lido mediante un mecanismo de quórum de 5 de 9. Esto significa que, incluso si se comprometen hasta cuatro claves, el sistema puede funcionar de forma segura.

Los colaboradores detectaron por primera vez la actividad sospechosa la madrugada del domingo, después de que una alerta de saldo bajo provocara una revisión más detallada de la dirección. Esta reveló un acceso no autorizado a una clave privada de oráculo utilizada por Chorus One, creada originalmente en 2021 y que no estaba protegida con los mismos estándares que las claves más recientes, según dijo la empresa en una publicación de X.

En respuesta, Lido ha lanzado una votación de emergencia de la DAO para rotar la clave del oráculo comprometida entre tres contratos: el Oráculo de Contabilidad, el Oráculo del Bus de Salida de Validadores y el Oráculo de Tarifas de CS. La nueva clave se ha generado utilizando mejores controles de seguridad para evitar que se repita.

El hackeo ocurrió justo cuando varios otros operadores de oráculos estaban experimentando problemas de nodos no relacionados, incluido un error menor de Prysm introducido por la reciente actualización Pectra de Ethereum, lo que retrasó brevemente los informes de oráculos el 10 de mayo.

La dirección comprometida (0x140B) está siendo reemplazada por una nueva dirección segura (0x285f), con la votación en cadena ya aprobada y en su período de objeción de 48 horas a partir de las horas de la mañana asiática del lunes.

Este artículo, o partes del mismo, fue generado con asistencia de herramientas de IA y revisado por nuestro equipo editorial para garantizar la precisión y el cumplimiento de nuestros estándares. Para más información, consulte la política completa de IA de CoinDesk.