Sinisi ang Solana Hack sa Slope Mobile Wallet Exploit

Libu-libong Solana mga gumagamit nang sama-sama nawala ang humigit-kumulang $4.5 milyon na halaga ng SOL at iba pang mga token mula Martes ng gabi hanggang maagang Miyerkules, at ngayon ay may malamang na paliwanag kung bakit: sinisisi ito sa isang pribadong pagsasamantala sa key na nauugnay sa mobile software wallet Dulas.

Noong Miyerkules ng hapon, ang opisyal na Solana Status Twitter account nagbahagi ng mga paunang natuklasan sa pamamagitan ng pakikipagtulungan sa pagitan ng mga developer at security auditor, at sinabing "lumalabas na ang mga apektadong address ay ginawa, na-import, o ginamit sa mga application ng Slope mobile wallet."

"Ang pagsasamantalang ito ay nakahiwalay sa isang wallet sa Solana, at ang mga wallet ng hardware na ginagamit ng Slope ay nananatiling secure," patuloy ng thread. "Habang ang mga detalye ng eksakto kung paano ito nangyari ay nasa ilalim pa rin ng pagsisiyasat, ngunit ang pribadong pangunahing impormasyon ay hindi sinasadyang ipinadala sa isang serbisyo sa pagsubaybay sa aplikasyon."

"Walang katibayan na ang Solana protocol o ang cryptography nito ay nakompromiso," idinagdag ng account.

Naubos din ang ilang Phantom wallet ng kanilang SOL at mga token sa pag-atake, gayunpaman, lumalabas na ang mga may hawak ng wallet na iyon ay dating nakipag-ugnayan sa isang Slope wallet. "May dahilan si Phantom para maniwala na ang mga naiulat na pagsasamantala ay dahil sa mga komplikasyon na nauugnay sa pag-import ng mga account papunta at mula sa Slope," ang Nag-tweet ang Phantom team araw na ito.

libis naglabas ng sariling pahayag bago ang Solana Status thread. Kinikilala nito na ang mga wallet ng Slope ay kasama sa hack, ngunit hindi partikular na nagdetalye kung ano ang nangyari, at hindi rin inaako ng kompanya ang responsibilidad para sa mga pag-atake.

"Mayroon kaming ilang mga hypotheses tungkol sa likas na katangian ng paglabag, ngunit wala pa ring matatag," ang bahagi nito ay nagbabasa. “Nararamdaman namin ang sakit ng komunidad, at hindi kami immune. Marami sa aming sariling mga kawani at wallet ng mga tagapagtatag ang naubos.”

"Kami ay aktibong nag-diagnose, at nakatuon sa pag-publish ng isang buong postmortem, bawiin ang iyong tiwala, at gawin itong tama sa abot ng aming makakaya," isinulat ng koponan ng Slope.

Ayon sa blockchain explorer Solscan, mahigit limang oras na ang nakalipas mula noong naubos ng isa sa apat na umaatakeng wallet ang cryptocurrency o mga token mula sa anumang madaling kapitan ng wallet. Sinabi ng lahat, ang mga umaatake ay kumuha ng tinatayang $4.46 milyon na halaga ng crypto mula sa sinabi ng Solana Status account na humigit-kumulang 8,000 natatanging wallet.

Ang pag-atake nagsimula noong Martes ng gabi, at maraming user at platform ng Solana ang unang naghinala na ang mga wallet ay pinagsasamantalahan sa pamamagitan ng dati nang nabigyan ng mga pahintulot sa isang matalinong kontrata. Gayunpaman, ang mga transaksyon ay nilagdaan ng mga wallet na pinag-uusapan, na nagmumungkahi ng mga nakompromisong pribadong key.

Inirerekomenda ng Slope na gumawa ang mga user nito ng bagong wallet na may bagong seed phrase at maglipat ng mga pondo dito. Gayundin, ang mga wallet ng hardware ay hindi naapektuhan ng pag-hack, at inirerekomenda din para sa pagpapanatiling secure ng mga asset sa gitna ng potensyal na patuloy na sitwasyon ng pagsasamantala.