В атаке на кошелек Slope обвиняют кошелек на базе Solana
Пока оседает пыль после вчерашнего хаоса в экосистеме Solana, появляются данные о том, что поставщик кошельков Slope в значительной степени ответственен за эксплойт безопасности, который похитил криптовалюту у тысяч пользователей Solana.
Slope является провайдером Web3-кошельков для блокчейна Solana layer-1 (L1). Через аккаунт Solana Status в Twitter 3 августа Solana Foundation указала на Slope, заявив, что «похоже, что пострадавшие адреса были в какой-то момент созданы, импортированы или использованы в приложениях мобильных кошельков Slope».
После расследования, проведенного разработчиками, командами экосистемы и аудиторами безопасности, выяснилось, что затронутые адреса в какой-то момент были созданы, импортированы или использованы в приложениях мобильного кошелька Slope. 1/2
— Solana Status (@SolanaStatus) 3 августа 2022 г.
Соучредитель Solana Анатолий Яковенко также связал кошельки Slope со взломом в своем личном аккаунте в Twitter. Он посоветовал пользователям как можно скорее сгенерировать seed-фразу с другого сервиса, кроме Slope. Он также посоветовал пострадавшим пользователям «начать практиковать разделение на холодные и горячие кошельки».
Злоумышленник лениво прокладывает все пути. Куча фантомных пользователей увидели, что их адреса slope были слиты. Я бы посоветовал всем, кто касался slope, как можно скорее регенерировать свою seed-фразу в другом кошельке.
— SMS aey.sol, (@aeyakovenko) 3 августа 2022 г.
Эксплойты для кошельков на базе Solana впервые всплыли 2 августа, после того как сообщество стало сообщать, что с их криптокошельков сливают Solana (SOL) и другие токены. По оценкам, из почти 8000 кошельков было похищено криптовалюты на сумму около 8 миллионов долларов.
В ходе расследования Solana Foundation установила, что закрытые ключи для каждого из кошельков, взломанных в результате эксплойта, были «непреднамеренно переданы в службу мониторинга приложений», такую как Slope.
Фонд добавил, что нет никаких доказательств того, что протокол Solana или его криптография подверглись риску в результате атаки.
По некоторым данным, Slope могла регистрировать семенные фразы пользователей на своих централизованных серверах. Серверы могли быть взломаны, и произошла утечка семенных фраз, которые хакер мог использовать для выполнения транзакций.
В предыдущих сообщениях об атаке говорилось, что атаке подверглись пользователи горячих кошельков Slope и Phantom, что заставило многих предположить, что проблема может быть связана с протоколом Solana, однако дальнейший анализ, проведенный главой отдела коммуникаций Solana Остином Федорой, показал, что проблема была изолирована только от горячих кошельков.
Федора заявил, что хотя 60% жертв атаки были пользователями Phantom, пострадавшие не генерировали свои начальные фразы с помощью Phantom.
Мы запустили Typeform для сбора данных, и результаты были очевидны — из тех, кого слили, ~60% были пользователями Phantom и 40% пользователями Slope. Но после обширных интервью и запросов к сообществу мы не смогли найти ни одного пользователя Phantom-forever, у которого был бы опустошен кошелек.
— Остин Федера | sms (@Austin_Federa) 3 августа 2022 г.
В среду компания Slope опубликовала заявление о ходе расследования инцидента, в котором подтвердила, что «в результате взлома была скомпрометирована группа кошельков Slope», в том числе некоторые из них принадлежали сотрудникам компании.
Команда призвала пользователей кошельков Slope сгенерировать новую уникальную начальную фразу и перевести на нее все средства, а не хранить средства на старых кошельках, которые впоследствии могут быть использованы. Команда Phantom усилила предупреждение, посоветовав пользователям перевести свои средства на новый кошелек, не принадлежащий Slope.
