Mithril 交易機器人安全漏洞：Paradex 撤銷 57 個被攻擊的子金鑰

2024年1月21日，Paradex披露了一起影響其Mithril交易機器人的重大安全事件。該平台透露其內部系統遭到入侵，導致約57個用戶子密鑰被曝光。儘管這些憑證無法直接存取用戶資金，但它們仍具有相當的風險，因為它們授予帳戶的交易許可權。

Mithril 發生了什麼事

被攻擊的子密鑰與Paradex的自動交易解決方案Mithril相關聯。這些數位憑證主要用於促進交易機器人與第三方應用程式之間的整合，實現跨多個平台的無縫資產管理。此次漏洞曝光了曾授權Mithril機器人在其帳戶上操作的用戶。為了應對，Paradex立即暫停所有XP轉移，並撤銷與Mithril相關的全部子密鑰註冊，以防止進一步的未授權活動。

理解子密鑰的風險

雖然子密鑰不具備提取資金的能力，但其被攻擊的風險仍然存在，可能對交易帳戶構成威脅。攻擊者可能執行未經授權的交易、操控持倉或在未直接存取提取功能的情況下抽取帳戶流動性。這種「提取能力」與「交易控制」之間的區別，對用戶來說至關重要。此次事件凸顯了第三方整合點的脆弱性，即使它們並不直接涉及資金轉移。

如何保護您的帳戶

Paradex建議用戶在授予第三方服務權限時保持警覺。帳戶持有人應仔細評估每個第三方整合的安全風險，並考慮限制子密鑰的權限僅授予必要的應用程式。對於之前與Mithril連接的受影響用戶，建議進行全面的帳戶授權歷史審核。此次事件也提醒我們，強健的安全措施不僅僅是密碼保護，還應涵蓋所有授予交易權限的憑證類型。