Slope Finance je zřejmě původcem exploitu Solana, který postihl tisíce uživatelů. Majitelům peněženek doporučujeme, aby okamžitě přesunuli finanční prostředky z importovaných peněženek Slope.
Jak jsme původně informovali ve středu brzy ráno, významný exploit způsobil odčerpání prostředků z tisíců kryptopeněženek. Původní zpráva byla zveřejněna v době, kdy incident probíhal; následný článek však odhalil další informace týkající se spojení se společností Slope FInance.
Konečně se objevují informace o původu exploitu. Společnost Slope vydala ve středu večer prohlášení, ve kterém všem majitelům peněženek doporučuje, aby přesunuli veškeré prostředky v peněženkách importovaných do Slope. Varování rozšířilo o radu, že „nedoporučuje používat v této nové peněžence stejnou seed frázi, jakou jste měli ve Slope“.
Phantom, další peněženka Solana, kterou v době odčerpání prostředků používalo mnoho uživatelů, vydala prohlášení, v němž identifikovala „komplikace spojené s importem účtů do a ze Slope Finance.“
1/ Společnost Phantom má důvod se domnívat, že nahlášené zneužití je způsobeno komplikacemi souvisejícími s importem účtů do a z @slope_finance
Stále aktivně pracujeme na zjištění, zda se na tomto incidentu mohly podílet i další zranitelnosti. https://t.co/W5B19gbMJX
– Phantom (@phantom) 3. srpna 2022
Vyjádření potvrzující vztah k mobilní peněžence Slope vydal také twitterový účet Solana Status, který provozuje nadace Solana Foundation.
Po vyšetřování vývojářů, týmů ekosystému a bezpečnostních auditorů se zdá, že dotčené adresy byly v určitém okamžiku vytvořeny, importovány nebo použity v aplikacích mobilní peněženky Slope. 1/2
– Solana Status (@SolanaStatus) 3. srpna 2022
Nadace Solana Foundation ve vlákně na Twitteru odhalila, že „informace o soukromém klíči byly neúmyslně předány službě pro monitorování aplikací“.
Stříbrnou stránkou tragického příběhu je, že se nezdá, že by problém byl v blockchainu nebo v generování seedů. Chyba v kryptografických důkazech blockchainu Solana by mohla mít ničivé dopady na celý kryptografický ekosystém. Zdá se však, že to již není na pořadu dne, a Solana Foundation potvrdila, že „neexistuje žádný důkaz, že by protokol Solana nebo jeho kryptografie byly ohroženy“.
Na screenshotu logů z Moon Rank NFT Foobar upozornil na možné zahrnutí soukromých klíčů a mnemotechnických frází v rámci volání Slope API. Ačkoli se zdá, že požadavek POST byl odeslán prostřednictvím šifrování SSL, skutečnost, že je zahrnuta semínková fráze, je znepokojující. Možnou příčinou by mohl být útok typu man-in-the-middle, při kterém může záškodník odposlouchávat komunikaci mezi dvěma stranami a ukrást citlivé informace.
Záznamy
MITM z @MoonRankNFT ukazují, že mnemotechnická informace je předávána serverům Slope prostřednictvím požadavků POST. Název peněženky čistě náhodný pic.twitter.com/qL9C49ipvV
– foobar (@0xfoobar) 3. srpna 2022
Poněkud znepokojivé je, že uživatelé stále prohlašují, že „nikdy v životě nepoužili Slope“, a přesto byly jejich peněženky vyčerpány. Uživatelé také hlásili, že z účtů Trust Wallet byly odčerpány finanční prostředky, ale tyto účty jsou omezené.
Celková hodnota ztracená v důsledku exploitu je zatím neznámá, ale byly hlášeny údaje až 580 milionů dolarů, protože peněženka “ byla na SolScan označena jako zapojená do exploitu se zůstatkem 570 milionů dolarů. Většina těchto prostředků však pochází z tokenu EXIST, který není sledován ani na CoinMarketCapu, ani na CoinGecku, takže likvidní částka zneužití je spíše nižší než 10 milionů dolarů.
Zakladatel a generální ředitel společnosti Binance, CZ, také nyní doporučil všem uživatelům, kteří používali peněženky na Slope Finance, přesunout prostředky do čerstvé peněženky nebo na Binance, pokud nerozumíte slovům „privátní klíč nebo seed fráze“.
Pokud jste v minulosti používali peněženku Slope (pro SOL), přesuňte své prostředky co nejdříve do jiné peněženky. Starou peněženku „neimportujte“. Použijte nový soukromý klíč nebo seed frázi. Pokud nevíte, co tato slova znamenají, pošlete svůj SOL na adresu @binance Snadný způsob. https://t.co/t1lYcgaX5z
– CZ Binance (@cz_binance) 3. srpna 2022