Slopeファイナンスは、数千人のユーザーに影響を与えたSolanaエクスプロイトの起源であるようです。ウォレットの所有者は、Slopeインポートされたウォレットから直ちに資金を移動することをお勧めします。
水曜日の早朝に私たちが最初に報告したように、重要なエクスプロイトによって数千の暗号ウォレットが資金を流出させられたのです。最初の報告は事件が進行しているときに発表されましたが、その後の記事でSlope FInanceとの関連に関する詳細な情報が明らかになりました。
エクスプロイトの起源に関する情報がようやく明るみに出てきたのです。Slopeは水曜日の夕方に声明を出し、すべてのウォレットの所有者にSlopeにインポートされたウォレットの資金を移動するよう助言しています。警告はそのアドバイスを拡大解釈して、”Slopeで使っていたのと同じシードフレーズをこの新しいウォレットで使うことは推奨しない “と述べています。
資金が流出したときに多くのユーザーが使用していた別のSolanaウォレットであるPhantomは、「Slope Financeとの間でアカウントをインポートすることに関連した合併症」を特定する声明を発表しました。”
1/ Phantomは、報告された悪用が@slope_financeとの間でアカウントをインポートすることに関連した複雑さに起因すると信じるに足る根拠があります。
このインシデントの原因となった他の脆弱性の有無については、現在も積極的に調査を行っています。https://t.co/W5B19gbMJX
– ファントム (@phantom) 2022年8月3日
W。
ソラナ財団が運営するTwitterアカウント「Solana Status」も、スロープのモバイルウォレットとの関係を確認する声明を発表しています
。
開発者、エコシステムチーム、セキュリティ監査人による調査の結果、影響を受けるアドレスは一時的にSlopeモバイルウォレットアプリケーションで作成、インポート、または使用されていたようです。1/2
-ソラナステータス (@SolanaStatus) August 3, 2022
Twitterのスレッドで、ソラナ財団は “秘密鍵の情報が誤ってアプリケーション監視サービスに送信された “ことを明らかにしました。
悲劇的な物語の中の明るい兆しは、この問題がブロックチェーンやシード生成の問題ではないようであることです。ソラナブロックチェーンの暗号証明に欠陥があれば、暗号のエコシステム全体に壊滅的な影響を与える可能性があります。しかし、これはもはやカード上にはないようで、ソラナ財団は “ソラナプロトコルまたはその暗号が侵害された証拠はない “と断言した。
Moon Rank NFTからのログのスクリーンショットで、FoobarはSlope APIコール内に秘密鍵やニーモニックフレーズが含まれている可能性を強調しました。POSTリクエストはSSL暗号化で送信されているように見えますが、シードフレーズが含まれていることは厄介です。考えられる原因は、悪意のある行為者が2者間の通信を傍受し、機密情報を盗む中間者攻撃です
。
MITM logs from @MoonRankNFT shows the mnemonic being passed to Slope servers over POST requests. 財布の名前は単なる偶然 pic.twitter.com/qL9C49ipvV
-foobar (@0xfoobar) August 3, 2022
..
の場合
ちょっと心配なのは、ユーザーが「Slopeを(人生で)一度も使ったことがない」と宣言しているにもかかわらず、財布の中身が流出したままであることだ。また、Trust Walletのアカウントも資金が流出したとユーザーから報告されていますが、これらのアカウントは限定的なものです。
エクスプロイトによって失われた総額はまだ不明ですが、ウォレット「の残高が5億7000万ドルで、エクスプロイトに関与しているとSolScanでフラグが立てられた」として、5億8000万ドルという高い数字も報告されています。しかし、これらの資金のほとんどはCoinMarketCapでもCoinGeckoでも追跡されていないEXISTトークンによるもので、搾取された流動額は1000万ドル以下である可能性が高くなっています。
また、Binanceの創業者兼CEOであるCZは現在、Slope Financeでウォレットを使用していたすべてのユーザーに対し、「プライベートキーまたはシードフレーズ」という言葉が理解できない場合は、新鮮なウォレットまたはBinanceに資金を移動することを推奨しています
。
過去にSlopeウォレット(SOL用)を使用していた場合、早急に別のウォレットに資金を移動してください。古いウォレットを「インポート」しないでください。新しい秘密鍵またはシードフレーズを使用してください。これらの言葉の意味がわからない場合は、SOLを@binanceに送信してください。簡単な方法です。https://t.co/t1lYcgaX5z
– CZ Binance (@cz_binance) August 3, 2022
W