Kasunod ng pag-atake ng Solana wallet, in-update ng Solana Status team ang publiko at idinetalye na ang mga address ng wallet na apektado ng paglabag ay nakatali sa mga application ng Slope mobile wallet. Binigyang-diin pa ng koponan na "walang ebidensya na nakompromiso ang protocol ng Solana o ang cryptography nito."
Ang Ulat sa Katayuan ng Solana ay nagsasabing ang mga Apektadong Address ay Nagawa sa Isang Punto sa Mga Aplikasyon ng Slope Mobile Wallet
Sa nakalipas na 48 oras, ang Solana team ay nakikitungo sa isang atake na nakakita ng libu-libong mga wallet na nakabase sa Solana na nakompromiso. Noong panahong iyon, ang co-founder at CEO ng Solana Labs na si Anatoly Yakovenko isipan ang pagsasamantala ay posibleng nagmula sa isang pag-atake ng supply chain. Ipinaliwanag niya na naapektuhan ang iOS at Android wallet noong siya sinabi: "karamihan sa mga ulat ay Slope, ngunit may ilang Phantom user din."
Noong Agosto 3, 2022, ang Katayuan ng Solana Ipinaliwanag ng Twitter account na ang mga address na naapektuhan sa hack ay na-tether sa mga application ng Slope mobile wallet. "Pagkatapos ng pagsisiyasat ng mga developer, ecosystem team, at security auditor, lumilitaw na ang mga apektadong address ay ginawa, na-import, o ginamit sa mga application ng Slope mobile wallet," isinulat ng Solana Status. "Ang pagsasamantalang ito ay nakahiwalay sa isang wallet sa Solana, at ang mga wallet ng hardware na ginagamit ng Slope ay nananatiling secure." Katayuan ng Solana sinabi:
Habang ang mga detalye ng eksakto kung paano ito nangyari ay nasa ilalim pa rin ng pagsisiyasat, ang pribadong key na impormasyon ay hindi sinasadyang naipadala sa isang serbisyo sa pagsubaybay sa aplikasyon. Walang ebidensya na nakompromiso ang protocol ng Solana o ang cryptography nito.
Inilathala ng Slope Finance ang isang Opisyal na Pahayag mula sa wallet team at mga detalye ng paglabag ay malabo. Sinabi ni Slope “Isang pangkat ng mga wallet ng Slope ang nakompromiso sa paglabag, mayroon kaming ilang hypotheses tungkol sa likas na katangian ng paglabag, ngunit wala pang matatag, [at] ramdam namin ang sakit ng komunidad, at hindi kami immune. Marami sa aming sariling mga kawani at wallet ng mga tagapagtatag ang naubos.” Idinagdag din ni Slope na ang koponan ay aktibong nagsasagawa ng mga panloob na pagsisiyasat at pag-audit, habang nakikipagtulungan sa mga grupo ng seguridad at pag-audit.
Sinabi ng Mga Eksperto sa Seguridad na Naka-log in ang Mga Parirala ng Binhi ng Slope sa Nababasang Plaintext
Sa panahon ng opisyal na pahayag, higit pang inirerekomenda ng koponan ng Slope na ang mga gumagamit ng Slope wallet ay "lumikha ng bago at natatanging seed phrase wallet, at ilipat ang lahat ng asset sa bagong wallet na ito." Idinagdag ang slope:
Kung gumagamit ka ng hardware wallet, hindi nakompromiso ang iyong mga susi.
data mula sa Dune Analytics ay nagpapakita na mayroong higit pang natatanging mga address na naapektuhan ng paglabag kaysa sa unang iniulat. Ipinapakita ng mga istatistika na 9,223 natatanging address ang nagdusa mula sa bug at $4,088,121 sa crypto ang ninakaw. Karamihan sa mga asset na na-hack ay binubuo ng solana (SOL) at SOL-based na USDC.
Ito ay pagiging sinabi na ang mga mnemonic seed na parirala ng Slope na inilipat sa server ng Slope ay naka-log in sa nababasang teksto. Ang Slope wallet team ay di-umano'y nag-imbak ng mnemonics sa debug logging software sa pamamagitan ng isang sentralisadong Sentry server. Ang mga eksperto sa seguridad sa Ottersec detalyadong na “maa-access ng sinumang may access sa Sentry ang mga pribadong key ng [isang] user.” Nabanggit din ni Ottersec na ang koponan ng Slope ay "napakakatulong sa pagbabahagi ng data na may kaugnayan sa pag-hack."
Ano sa tingin mo ang tungkol sa mga isyu sa Slope wallet at sa kamakailang pagsasamantala na nakaapekto sa mga user ng Solana? Ipaalam sa amin ang iyong mga saloobin tungkol sa paksang ito sa seksyon ng mga komento sa ibaba.
Mga Credits ng Larawan: Shutterstock, pixel, Wiki Commons
Pagtanggi sa pananagutan: Ang artikulong ito ay para sa mga layuning pang-impormasyon lamang. Ito ay hindi isang direktang alok o paghingi ng isang alok upang bumili o magbenta, o isang rekomendasyon o pagrekomenda ng anumang mga produkto, serbisyo, o kumpanya. Bitcoin.com hindi nagbibigay ng payo sa pamumuhunan, buwis, ligal, o accounting. Hindi man ang kumpanya o ang may-akda ay responsable, nang direkta o hindi direkta, para sa anumang pinsala o pagkawala na sanhi o diumano’y sanhi ng o may kaugnayan sa paggamit ng o pag-asa sa anumang nilalaman, kalakal o serbisyo na nabanggit sa artikulong ito.
Pinagmulan: https://news.bitcoin.com/solanas-investigation-indicates-wallet-exploit-tied-to-slope-mobile-app/