Der mittlerweile eine Woche zurückliegende Hack von Solana wird nur langsam aufgeklärt. Phantom behauptet, keine Sicherheitslücken zu haben, und Slope gibt an, eine Schwachstelle in seinen Diensten gefunden zu haben, bezweifelt aber, dass diese mit dem gesamten Hack in Verbindung steht.
Phantom behauptet, keine Sicherheitslücken in seinem System gefunden zu haben
Eine Woche nach dem 4-Millionen-Dollar-Hack auf die Solana-Blockchain (SOL), der nicht weniger als 9.000 verschiedene Wallets betroffen haben soll und dessen Ursache noch immer unbekannt ist, behauptet Phantom, eines der betroffenen Wallets, keine Sicherheitslücken gefunden zu haben.
1/ Nach fast einer Woche der Untersuchung hat unser Team keine Hinweise darauf gefunden, dass Phantoms Systeme während des Sicherheitsvorfalls vom August 2. kompromittiert wurden.
Die Arbeit ist noch nicht abgeschlossen, aber angesichts der Ernsthaftigkeit der Situation möchten wir ein Update zu unseren bisherigen Maßnahmen geben.
– Phantom (@phantom) August 9, 2022
“ Nach fast einer Woche der Untersuchung hat unser Team keine Beweise dafür gefunden, dass die Systeme von Phantom während des Sicherheitsvorfalls am 2. August kompromittiert wurden. „
Der Pressemitteilung zufolge wurde Phantom mehreren Audits von OtterSec und Halborn Security unterzogen, zwei unabhängigen Unternehmen, die sich auf Blockchain-Audits spezialisiert haben, und die bislang keine Schwachstellen zu melden hatten.
Diese Aussage macht Sinn, da sie mit den Aussagen des technischen Teams von Solana übereinstimmt, dass die betroffenen Adressen zu irgendeinem Zeitpunkt mit der mobilen Anwendung von Slope’s Wallet interagiert haben.
Slope in einer komplizierteren Situation
In einer am 11. August ausgestellten Erklärung räumte Slope ein, dass es im Zeitraum vom 28. Juli bis zum 3. August eine Schwachstelle in einem seiner Dienste gefunden hatte. Genauer gesagt hätte die Schwachstelle dazu geführt, dass sensible Daten „versehentlich gespeichert“ werden konnten, wenn Anwendungen eine Fehlermeldung ausgaben.
Laut Slope ist die Sicherheitslücke trotz des Datums nicht für den Hack verantwortlich, den wir beobachtet haben. So können wir in der Pressemitteilung lesen:
“ Wie in früheren Zwischenberichten von Ottersec bestätigt, hat das Untersuchungsteam einen Quervergleich zwischen allen gehackten Adressen (insgesamt 9.232 Adressen) und allen Adressen, die der Schwachstelle in der Sentry-Datenbank ausgesetzt waren, durchgeführt: Die Anzahl der gehackten Adressen ist größer als die Gesamtzahl der Adressen, die durch den Sentry-Server ausgesetzt wurden. Ein Bruchteil (1.444 Adressen) der gesamten Exposition des Sentry-Servers wurde als geleert bestätigt. „
Mit anderen Worten: Die Anzahl der von der fraglichen Schwachstelle bei Slope betroffenen Wallets ist geringer als die Anzahl der insgesamt gehackten Wallets.
Der Sentry Service, den Slope hier erwähnt, bezieht sich auf den Ordner, in dem sich die Seedphrasen der verschiedenen Wallets befanden. In einem Bericht von OtterSec vom 4. August hieß es, dass die dort befindlichen mnemonischen Sätze unverschlüsselt und in lesbarem Text geschrieben waren.
Darauf entgegnete Slope, dass es unwahrscheinlich sei, dass der Hacker Zugang zu den fraglichen Schlüsseln gehabt habe, da der Ordner durch eine 3-Faktor-Authentifizierung und HTTPS-Verschlüsselung gesichert sei.
Am 5. August veröffentlichte Slope eine Erklärung, in der er dem Hacker eine Belohnung von 10 % versprach, wenn er das Geld innerhalb von zwei Tagen zurückgeben würde.
