Атаката е засегнала предимно мобилните портфейли Solana, а повечето от съобщенията за пробив идват от потребители на Phantom и Slope.
През експлойт, започнал в късните часове на 2 август, от над 8000 портфейла Solana (SOL) бяха източени милиони.
Досега повече от 8000 портфейла и ~580 млн. долара са откраднати от следните 4 адреса.
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy pic.twitter.com/N7wJlCOi8p– MistTrack️ (@MistTrack_io) August 3, 2022
Впрочем, Peckshield отбеляза, че общата загуба се оценява на по-малко от 10 млн. долара, ако се премахне стойността на неликвидните монети, участващи в атаката.
PeckShieldAlert Широко разпространената хакерска атака срещу портфейлите Solana вероятно се дължи на проблем с веригата за доставки, използван за кражба/откриване на частните ключове на потребителите зад засегнатите портфейли. Засега загубите се оценяват на 8 млн. долара, като се изключи един неликвиден shitcoin (има само 30 холда & може би неправилно оценен на 570 млн. долара) pic.twitter.com/aTGNsTc6d8
– PeckShieldAlert (@PeckShieldAlert) August 3, 2022
Атаката засегна предимно мобилни портфейли Solana, свързани с интернет, като Phantom, Solflare, TrustWallet и Slope. Но повечето от съобщенията за пробив дойдоха от потребители на Phantom и Slope.
Причината за експлойта и самоличността на хакерите остават неизвестни.
Междувременно бяха идентифицирани четири портфейла, в които се съхраняват всички откраднати средства.
Експлойтът е източвал Solana, други токени, базирани на Solana, и USDC. Otter добави, че експлойтът е засегнал и някои потребители на Ethereum (ETH).
Причината за атаката все още е неизвестна
Криптообщността продължава да не знае каква е причината за този експлойт.
Съоснователят на фондация Solana Анатолий Яковенко изказа мнение, че експлойтът „изглежда като атака по веригата за доставки на iOS“ – мнение, което се споделя от някои други членове на общността.
Изглежда като атака по веригата за доставки на iOS. Засегнати са множество правдоподобни портфейли, които само са получавали sol и не са имали взаимодействия извън получаването. https://t.co/ne0g3ZmLH5
Както и ключове, които са били импортирани в iOS и генерирани външно.https://t.co/hStAr1mU6Q
– SMS aey.sol, (@aeyakovenko) August 3 2022
PSA: Ако използвате портфейл Phantom или Slope на Solana, моля, преместете средствата си на борса или в хардуерен портфейл възможно най-скоро.
В момента тече атака, която източва тези портфейли. Най-вероятно става въпрос за атака по веригата за доставки.
ps Средствата в портфейла Fox са Safu, защото LavaMoat е GOAT.
– Mudit Gupta (@Mudit__Gupta) August 3, 2022
Два важни урока:
– Solana е написана на Rust, който е позициониран като сигурен език. Самият език не осигурява висока сигурност. Ето защо избрахме езика C.
– Най-вероятната причина е атака по веригата за доставки. Ето защо Cellframe почти няма компоненти от трети страни https://t.co/4FWlieKj5U– Dmitriy Gerasimov (@naeper) August 3, 2022
Според Кристин Ким атаката по веригата за доставки „прилича на атака в стил „троянски кон“, при която хакерът вкарва злонамерен код, без никой да забележи, в някое от хранилищата или библиотеките в GitHub, на които разчита и които използва целевото приложение/продукт.“
По принцип атаката по веригата за доставки прилича на атака в стил „троянски кон“, при която хакерът вкарва злонамерен код, без никой да забележи, в едно от репозиториите или библиотеките на GitHub, на които разчита и които използва целевото приложение/продукт.
– Christine Kim (@christine_dkim) August 3, 2022
Емин Гюн Сирер, главен изпълнителен директор на Ava labs, посочи четири възможни причини за експлойта. Според него атаката може да е била причинена от „атака по веригата за доставки“, „дефектен генератор на случайни числа“ или „експлойт/нулев ден в браузъра“.
В момента тече атака, насочена към екосистемата Solana. Засегнати са над 7000 портфейла и броят им се увеличава с 20 на минута. Тъй като е много рано и атаката продължава, има много дезинформация и спекулации. Затова ето няколко мисли и разяснения.
– Emin Gün Sirer (@el33th4xor) August 3, 2022
Тези причини обаче имат различна вратичка, която затруднява приписването на атаката на която и да е от тях.
Сирер продължава, че възможната причина за тази хакерска атака може да бъде „потенциална повторна употреба на nonce, която в крайна сметка разкрива частния ключ“.
Фирмата за сигурност на блокчейн OtterSec беше написала, че транзакциите „се подписват от действителните собственици, което предполага някакъв вид компрометиране на частния ключ.“
Тези транзакции се подписват от действителните собственици, което предполага някакъв компромис с частния ключ. pic.twitter.com/UTMq4NWErd
– OtterSec (@osec_io) August 3, 2022
Solana, Phantom и Slope разкриха, че разследват експлойта и скоро ще предоставят допълнителна информация.
Инженери от множество екосистеми, с помощта на няколко фирми за сигурност, разследват източени портфейли в Solana. Няма доказателства, че хардуерните портфейли са засегнати.
Тази тема ще бъде актуализирана при получаване на нова информация.
– Solana Status (@SolanaStatus) August 3, 2022
Междувременно потребителите бяха посъветвани да спрат да използват компрометирания портфейл. Мрежата посъветва потребителите да използват твърд портфейл, а някои членове на общността казаха също, че изпращането на токените в централизиран обмен може да защити средствата.
Има активен инцидент със сигурността в Солана. Много (над 7000 и повече) портфейли са източени от SOL & USDC. Все още не знаем каква е основната причина. Може би разрешенията, предоставени на приложенията. За отстраняване на проблема изпратете средствата в студен портфейл или CEX като @Binance https://t.co/nQrBXAgCbf
– CZ Binance (@cz_binance) August 3, 2022
Възелите на Солана са изключени
Наличната информация разкрива също, че възлите Solana в момента са изключени. Съобщава се, че възлите са били поставени под DDoS атака, за да се забави работата на хакера.
Много RPC възли на Solana изглежда са спрели да обслужват заявки, може да се дължи на натоварване или да е умишлено.
Това не засяга по никакъв начин основната верига. Веригата функционира нормално.
Вашият портфейл или изследовател може да не се зарежда в момента, веригата работи нормално.
– Laine ❤️ stakewiz.com (@laine_sa_) August 3, 2022
Междувременно блокчейнът Solana все още работи.
Членовете на криптообщността обаче поставиха под въпрос обосновката на атаката, тъй като хакерът би могъл да продължи с експлойта, когато мрежата възобнови пълната си работа.
Към момента на пресата мрежата Solana е загубила около 2% от стойността си през последните 24 часа и в момента се търгува за 39,87 долара.