RocketSwap geleakte Schlüssel auf Server

Am 14. August 2023 verlor der Base-Chain-DEX RocketSwap etwa 869.000 $, nachdem Angreifer den Server des Projekts kompromittierten und seine privaten Schlüssel erlangten. Die Schlüssel waren verschlüsselt auf demselben Server gespeichert wie ein Automatisierungsskript, das die Entschlüsselungs-Routine enthielt — sodass die Kompromittierung des Servers sowohl den Geheimtext als auch die Mittel zur Entschlüsselung lieferte.

Was geschah

RocketSwap betrieb eine Auto-Farming-Funktion, die serverseitiges Signieren erforderte. Das Team speicherte den Signaturschlüssel verschlüsselt, aber die Entschlüsselungs-Logik und der Zugriff lebten auf derselben Maschine. Ein Server-Kompromiss gab dem Angreifer den verschlüsselten Schlüssel und das Skript, das ihn entschlüsselt — was die Verschlüsselung vollständig zunichte machte. Der Angreifer zog ~869.000 $ ab und leitete sie durch Tornado Cash.

Folgen

• RocketSwap erkannte die geleakte-Schlüssel-Grundursache öffentlich an.
• Kleines Protokoll; minimale Wiederherstellung.

Warum es wichtig ist

RocketSwap ist eine klare Lektion im Verschlüsselung-im-Ruhezustand-Theater: Einen Schlüssel zu verschlüsseln ist bedeutungslos, wenn der Entschlüsselungs-Schlüssel/Logik mit dem Geheimtext kolokalisiert und gleichermaßen exponiert ist. Dies ist der operationelle-Sicherheits-Cousin von Slope Wallet (Seeds auf Server geloggt) und Mixin (Schlüssel erreichbar aus einer kompromittierten Cloud-DB). Die wiederkehrende Regel: Ein Geheimnis ist nur so geschützt wie der schwächste Pfad zu seinem Klartext — und "verschlüsselt, aber der Entschlüsseler ist direkt daneben" ist kein Schutz, es ist eine Häkchen-Box.