Bezpieczeństwo Paradex poddane testowi, gdy exploit Mithril Trading Bot ujawnia 57 podkluczy użytkowników

Ostatnie wydarzenia na Paradex wywołały nowe pytania dotyczące bezpieczeństwa paradex, narzędzi automatyzacji firm trzecich oraz szybkości reakcji giełd na naruszenia systemów.

Paradex potwierdza naruszenie Mithril Trading Bot

Platforma instrumentów pochodnych Paradex potwierdziła incydent bezpieczeństwa związany z Mithril Trading Bot, po tym jak atakujący uzyskał dostęp do wewnętrznych systemów Mithril i ujawnił około 57 podkluczy użytkowników. Według Wu Blockchain, Paradex oświadczył, że exploit był ograniczony do infrastruktury Mithril i nie naruszył głównej giełdy.

Ponadto Paradex podkreślił, że dotknięte podklucze posiadały ograniczone uprawnienia. Te klucze mogły wykonywać transakcje w imieniu użytkowników, ale nie mogły wypłacać ani przenosić środków z kont użytkowników. Ten wybór projektowy skutecznie zabezpieczył kapitał, mimo że dostęp do automatycznego handlu był krótkotrwale zagrożony.

W odpowiedzi giełda wstrzymała wszystkie transfery XP i szybko cofnęła każdy podklucz związany z kontami handlowymi połączonymi z Mithril. Niemniej jednak Paradex wskazał, że oczekuje się wznowienia transferów XP wkrótce, po zakończeniu kontroli wewnętrznych i walidacji bezpieczeństwa.

Co zostało naruszone i kto został dotknięty

Naruszenie wpłynęło tylko na tych użytkowników, którzy połączyli swoje konta Paradex z botami handlowymi Mithril. Żaden inny klient Paradex nie został dotknięty, a platforma powtórzyła, że naruszenie nie rozszerzyło się na jej główne systemy przechowywania lub dopasowywania.

Te podklucze, zaprojektowane dla strategii automatycznych, pozwalają botom składać i zarządzać transakcjami, ale nie mają praw do wypłat z portfeli użytkowników. Jednak chociaż ten model ograniczonych uprawnień pomógł ograniczyć wpływ, nadal ujawnił, jak wrażliwe mogą być konfiguracje handlowe i strategie, gdy narzędzia firm trzecich zostaną naruszone.

Paradex udostępnił aktualizacje za pośrednictwem swojego oficjalnego konta X i ostrzegł użytkowników przed przyznawaniem dostępu usługom zewnętrznym. Firma podkreśliła, że nie kontroluje sposobu, w jaki zewnętrzni dostawcy przechowują, szyfrują lub zabezpieczają klucze API i podklucze, co pozostawia dodatkową warstwę ryzyka dla traderów polegających na automatyzacji.

Boty firm trzecich i rosnące ryzyko automatyzacji

Incydent podkreśla szersze wyzwania związane z bezpieczeństwem botów handlowych firm trzecich na rynkach kryptowalut. Kiedy użytkownicy integrują narzędzia zewnętrzne, skutecznie rozszerzają powierzchnię ataku poza główną giełdę na infrastrukturę, której nie widzą ani nie kontrolują.

Ponadto Paradex podkreślił, że odpowiedzialność za weryfikację tych narzędzi ostatecznie spoczywa na użytkownikach końcowych. Traderzy są zachęcani do przeglądania dokumentacji bezpieczeństwa, praktyk przechowywania kluczy i zakresów uprawnień przed połączeniem usług automatyzacji z ich kontami, szczególnie gdy w grę wchodzą złożone strategie instrumentów pochodnych.

Dla wielu dotkniętych użytkowników naruszenie było zaskoczeniem pomimo ograniczonego zakresu. Jednak szybkie cofnięcie ujawnionych podkluczy i brak nieautoryzowanych wypłat pomogły utrzymać zaufanie, że salda pozostały bezpieczne, nawet jeśli zaufanie do integracji z firmami trzecimi zostało nadszarpnięte.

Działania bezpieczeństwa Paradex i reakcja społeczności

Po wykryciu naruszenia Mithril, Paradex wykonał serię środków bezpieczeństwa. Najpierw wstrzymał transfery XP jako krok ostrożnościowy podczas przeprowadzania audytów wewnętrznych. Następnie cofnął wszystkie podklucze związane z Mithril, przerywając naruszone połączenie z kontami użytkowników.

Firma zachęciła również traderów do przeglądu wszystkich aktywnych połączeń, usunięcia nieużywanych danych uwierzytelniających API i minimalizacji uprawnień tam, gdzie to możliwe. Niemniej jednak wielu członków społeczności na platformach społecznościowych pochwaliło szybką komunikację i reakcję techniczną Paradex, nawet gdy wzywali do bardziej rygorystycznych wytycznych dotyczących integracji z firmami trzecimi.

Niektórzy komentatorzy argumentowali, że architektura bezpieczeństwa paradex, szczególnie wykorzystanie podkluczy bez możliwości wypłaty, znacznie zmniejszyła potencjalne szkody wynikające z naruszenia. Inni zauważyli, że epizod jest przypomnieniem, że wygoda i automatyzacja muszą być zawsze równoważone z ryzykiem bezpieczeństwa operacyjnego.

Zwroty w wysokości 650 000 USD po awarii z 19 stycznia

Exploit związany z Mithril następuje zaraz po innym wyzwaniu operacyjnym dla Paradex. W dniu 19 stycznia platforma doświadczyła awarii sieci, która wywołała anomalie cenowe, w tym krótkie wyświetlenie Bitcoin (BTC) w cenie 0 USD w interfejsie.

Ta usterka doprowadziła do fali nieprawidłowych likwidacji pozycji na instrumentach pochodnych. Po przeanalizowaniu wpływu, Paradex przeprowadził szczegółową analizę dotkniętych kont i zdecydował się zrekompensować użytkownikom, którzy zostali błędnie zlikwidowani podczas zakłócenia.

Giełda ostatecznie wydała około 650 000 USD zwrotów dla około 200 użytkowników. Ponadto Paradex oświadczył, że proces przeglądu został teraz zakończony i wszystkie dotknięte konta otrzymały odpowiednią rekompensatę, po wcześniejszym wycofaniu blockchainu podjętym w celu skorygowania anomalii.

Zaufanie, przejrzystość i lekcje dla traderów DeFi

Łącznie, ujawnienie podkluczy i awaria ze stycznia podkreślają, w jaki sposób szybko rozwijające się miejsca handlu kryptowalutami są testowane w rzeczywistych warunkach rynkowych. Jednak pokazują również, dlaczego publiczne ujawnienie i szczegółowe raportowanie incydentów są kluczowe dla utrzymania zaufania użytkowników.

Paradex dostarczył aktualizacje w stylu post-mortem, wyjaśnił, co zostało naruszone i przedstawił, jak złagodził zarówno naruszenie związane z botami, jak i błędy likwidacji. Dla traderów kluczowy wniosek jest prosty: zautomatyzowane boty mogą zwiększać zyski, ale wprowadzają również nowe warstwy ryzyka kontrahenta i infrastruktury.

W środowisku, w którym wydajność i wygoda często mają priorytet, te wydarzenia wzmacniają przekonanie, że solidne praktyki bezpieczeństwa, przejrzysta komunikacja i ostrożne korzystanie z narzędzi zewnętrznych pozostają niezbędne. Ostatecznie użytkownicy są przypominani, że zaufanie do platform i usług firm trzecich musi być zdobywane nieprzerwanie, a nie zakładane.

Podsumowując, incydenty Paradex i Mithril pokazują, że chociaż środki użytkowników pozostały chronione przez podklucze o ograniczonych uprawnieniach i późniejsze zwroty, zarówno architektura bezpieczeństwa, jak i szybkość komunikacji są teraz kluczowe dla przewagi konkurencyjnej w handlu kryptowalutami.