1週間が経過したソラナハックは、まだ不明です。Phantomはセキュリティの脆弱性はないとし、Slopeは自社のサービスに脆弱性が見つかったが、ハッキング全体との関係はわからないとしている
Phantom、システムにセキュリティホールを発見せず
によると
9,000もの異なるウォレットに影響を与え、その原因が未だ不明なソラナブロックチェーン(SOL)での400万ドルのハッキングから1週間、影響を受けたウォレットの1つであるファントムは嘆くべき欠陥はないと主張しています
。
1/ 約1週間の調査の結果、8月2日のセキュリティインシデントでファントムのシステムが侵害された証拠は見つかりませんでした。
作業はまだ続いていますが、事態の深刻さに鑑み、これまでの状況をお知らせします。
– Phantom (@phantom) 2022年8月9日
..
。
「約1週間の調査の結果、8月2日のセキュリティ事件でファントムのシステムが侵害されたという証拠は見つかりませんでした」
。
声明によると、Phantomはブロックチェーンの監査を専門とする独立企業OtterSecとHalborn Securityによる監査を複数回受けており、これまでに報告すべき欠陥はなかったとのことです。
ソラーナの技術チームが、該当するアドレスは一度や二度はSlopeウォレットのモバイルアプリケーションとやり取りしたことがあると主張していることを裏付ける、理にかなった発言です。
より複雑な状況でのスロープ
。
8月11日に発表された声明で、スロープは7月28日から8月3日の間に、同社サービスの1つに脆弱性が見つかったことを認めています。具体的には、アプリケーションがエラーメッセージを生成した場合に、機密データの「不注意な記録」を可能にする欠陥があったのです。
しかし、Slopeによれば、日付は一致しているものの、この欠陥が今回確認されたハッキングの原因ではないとのことです。
以前のOttersecの中間報告で確認したように、調査チームはハッキングされたすべてのアドレス(合計9,232アドレス)をSentryデータベースの脆弱性にさらされたすべてのアドレスと照合しました:ハッキングされたアドレスの数はSentryサーバーによってさらされた総アドレス数より多くなっています。Sentryサーバーの総曝露量の一部(1,444アドレス)がダンプされたことが確認されました。”
言い換えれば、スロープの侵害によって影響を受けたウォレットの数は、ハッキングされたウォレットの総数よりも少ないのです。
なお、SlopeのいうSentry Serviceとは、各種ウォレットのシードフレーズが配置されたファイルのことである。8月4日付のOtterSecのレポートによると、フォルダ内のニーモニックフレーズは暗号化されておらず、読み取り可能なテキストで書かれていたとのこと。
これに対し、スロープ社は、ファイルは3要素認証とHTTPS暗号化で保護されているため、ハッカーが問題の鍵にアクセスできた可能性は低いと回答した。
また、8月5日、Slope社は、ハッカーが2日以内に資金を返却すれば、10%の報酬を約束する声明を出していた
。
