Safeheron 安全提醒:Juno「乌龙指」3600 万美元加密货币转入错误钱包地址
2022-05-07
最后更新于
2022-05-07
最后更新于
By Safeheron 安全团队
Cosmos 生态智能合约平台链 Juno Network 在通过 21号社区提案后,本应将巨鲸持有的大部分 JUNO 代币转入社区控制的「Unity」合约中。
21号社区提案:计划通过重写 Juno 的分类账进行升级,将该笔搁浅的资金从无人控制的地址中分配到「Unity」合约中(支持率为 97.55%)。
但是,负责执行该操作的人员 Asano 复制错了地址,从而导致资金被转入了无人控制的地址中。而且,在出现此人为乌龙后,Juno 的 120 多名验证者竟无人发现转账地址有误。如今,该错误地址 Asano 和 Juno 社区均无法访问。
Safeheron 分析
此次乌龙事件涉及了两大隐患:
操作员权限过大,具有单点风险 ;
未针对转账目标地址进行审核,造成转账至无人控制地址;
转账操作未经过多人审核。
Safeheron 建议
核心私钥需要采用多签方式消除单点风险;
提前审批目标地址,添加为白名单地址;
加强安全治理控制,所有的关键权限节点均不依赖一个人完成,需要多人操作或审批验证。
