Эксперты нашли закрытые ключи на серверах Slope, но все еще недоумевают по поводу доступа к ним
Фирмы, занимающиеся аудитом блокчейна, все еще пытаются выяснить, как хакеры получили доступ примерно к 8000 закрытых ключей, используемых для слива кошельков на базе Solana.
Расследование продолжается после того, как в среду злоумышленникам удалось похитить токены Solana (SOL) и Solana Program Library (SPL) на сумму около 5 миллионов долларов. Участники экосистемы и охранные фирмы помогают раскрыть все тонкости этого события.
Solana тесно сотрудничает с Phantom и Slope.Finance, двумя провайдерами кошельков на базе Solana, учетные записи пользователей которых пострадали от эксплойтов. Впоследствии выяснилось, что некоторые приватные ключи, которые были скомпрометированы, были напрямую связаны со Slope.
Компании Otter Security и SlowMist, занимающиеся аудитом и безопасностью блокчейна, оказали помощь в проведении расследования и рассказали о своих выводах в прямой переписке с Cointelegraph.
Основатель Otter Security Роберт Чен поделился информацией, полученной из первых рук, получив доступ к пострадавшим ресурсам в сотрудничестве с Solana и Slope. Чен подтвердил, что часть пострадавших кошельков имела закрытые ключи, которые присутствовали на серверах регистрации Sentry компании Slope в открытом виде:
«Рабочая версия заключается в том, что злоумышленник каким-то образом получил эти журналы и смог использовать их для компрометации пользователей. Это все еще продолжающееся расследование, и имеющиеся доказательства не объясняют все скомпрометированные учетные записи.»
Чен также сообщил Cointelegraph, что в экземпляре Sentry было найдено около 5300 закрытых ключей, которые не были частью эксплойта. Почти на половине этих адресов все еще хранятся токены — пользователей призывают перевести средства, если они еще не сделали этого.
Команда SlowMist пришла к аналогичному выводу, получив приглашение от Slope проанализировать эксплойт. Команда также отметила, что служба Sentry кошелька Slope собрала мнемоническую фразу и приватный ключ пользователя и отправила их на o7e.slope.finance. И снова SlowMist не смог найти никаких доказательств, объясняющих, как были украдены учетные данные.
Cointelegraph также связался с компанией Chainalysis, которая подтвердила, что проводит блокчейн-анализ инцидента после того, как поделилась первичными выводами в Интернете. Компания, занимающаяся анализом блокчейна, также отметила, что эксплойт в основном затронул пользователей, которые импортировали аккаунты на Slope.Finance или с него.
Хотя этот инцидент освобождает Solana от ответственности за эксплойт, ситуация подчеркнула необходимость аудита поставщиков услуг кошельков. SlowMist рекомендовал, чтобы кошельки перед выпуском проверялись несколькими компаниями безопасности, и призвал к разработке открытого кода для повышения безопасности.
Чен сказал, что некоторые поставщики кошельков «пролетели под радаром», когда речь зашла о безопасности по сравнению с децентрализованными приложениями. Он надеется, что этот инцидент изменит отношение пользователей к взаимосвязи между кошельками и проверкой со стороны внешних партнеров по безопасности.