Atak dotyczył głównie mobilnych portfeli Solana, a większość zgłoszeń naruszenia pochodziła od użytkowników Phantom i Slope.
Over 8000 Solana (SOL) wallets were drained of millions by an exploit that started in the late hours of August 2.
Do tej pory ponad 8000 portfeli i ~$580M zostało skradzionych przez następujące 4 adresy.
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy pic.twitter.com/N7wJlCOi8p– MistTrack️ (@MistTrack_io) 3 sierpnia 2022
Jednakże Peckshield zauważył, że całkowita strata szacowana jest na mniej niż 10 milionów dolarów, jeśli usunie się wartość niepłynnych monet biorących udział w ataku.
PeckShieldAlert Powszechne włamanie na portfele Solana jest prawdopodobnie spowodowane problemem z łańcuchem dostaw, który został wykorzystany do kradzieży/odkrycia kluczy prywatnych użytkowników za afektowanymi portfelami. Jak na razie straty szacowane są na $8M, nie licząc jednego niepłynnego shitcoina (ma tylko 30 holds & być może źle wyceniony $570M) pic.twitter.com/aTGNsTc6d8
– PeckShieldAlert (@PeckShieldAlert) August 3, 2022
Atak dotyczył głównie mobilnych portfeli Solana podłączonych do internetu jak Phantom, Solflare, TrustWallet i Slope. Jednak większość zgłoszeń o naruszeniu pochodziła od użytkowników Phantom i Slope.
Przyczyna exploita i tożsamość hakerów pozostają nieznane.
Tymczasem zidentyfikowano cztery portfele, które przechowują wszystkie skradzione środki.
Explit drenuje Solanę, inne tokeny oparte na Solanie oraz USDC. Wydra dodał, że exploit dotknął również niektórych użytkowników Ethereum (ETH).
Przyczyna ataku jest wciąż nieznana
Społeczność kryptowalutowa pozostaje w rozterce co do przyczyny tego exploita.
Współzałożyciel Solana Foundation, Anatoly Yakovenko, stwierdził, że exploit „wydaje się być atakiem na łańcuch dostaw systemu iOS”, a pogląd ten podzielają niektórzy inni członkowie społeczności.
Wygląda na atak łańcucha dostaw systemu iOS. Dotkniętych zostało wiele wiarygodnych portfeli, które otrzymywały tylko sol i nie miały żadnych interakcji poza otrzymywaniem. https://t.co/ne0g3ZmLH5
Jak również klucze, które były importowane do iOS, a generowane zewnętrznie.https://t.co/hStAr1mU6Q
– SMS aey.sol, (@aeyakovenko) August 3, 2022
PSA: Jeśli używasz portfela Phantom lub Slope na Solanie, proszę przenieś swoje środki na wymianę lub portfel sprzętowy ASAP.
Trwa atak drenujący te portfele. Najprawdopodobniej jest to atak na łańcuch dostaw.
ps Środki na Fox Wallet są Safu ponieważ LavaMoat jest GOAT.
– Mudit Gupta (@Mudit__Gupta) 3 sierpnia 2022
Dwie ważne lekcje:
– Solana została napisana na Rust, który jest pozycjonowany jako bezpieczny język. Sam język nie zapewnia wysokiego bezpieczeństwa. Dlatego wybraliśmy język C.
– Najbardziej prawdopodobną przyczyną jest atak na łańcuch dostaw. Dlatego Cellframe prawie nie ma komponentów firm trzecich https://t.co/4FWlieKj5U– Dmitriy Gerasimov (@naeper) 3 sierpnia 2022
Według Christine Kim, atak na łańcuch dostaw „jest jak atak w stylu konia trojańskiego w tym, że haker wsuwa złośliwy kod bez niczyjego zauważenia do jednego z repozytoriów GitHub lub bibliotek, na których opiera się i z których korzysta docelowa aplikacja/produkt. „
Podstawowo, atak na łańcuch dostaw jest jak atak w stylu konia trojańskiego w tym, że haker wsuwa złośliwy kod bez niczyjego zauważenia do jednego z repozytoriów GitHub lub bibliotek, na których opiera się i których używa docelowa aplikacja/produkt. „
– Christine Kim (@christine_dkim) 3, 2022
Emin Gün Sirer, CEO Ava labs, wymienił cztery możliwe przyczyny powstania exploita. Według niego, atak mógł być spowodowany „atakiem na łańcuch dostaw”, „wadliwym generatorem liczb losowych” lub „exploitem/zero-day przeglądarki. „
Trwa atak na ekosystem Solana. 7000+ portfeli zostało dotkniętych, a ich liczba rośnie z prędkością 20/min. Ponieważ jest bardzo wcześnie i atak trwa, jest wiele dezinformacji i spekulacji. Oto więc kilka myśli i wyjaśnień.
– Emin Gün Sirer (@el33th4xor) 3 sierpnia 2022
Przyczyny te mają jednak inną lukę, która utrudnia przypięcie ataku do którejkolwiek z nich.
Sirer kontynuował, że możliwą przyczyną tego włamania może być „potencjalne ponowne użycie nonce, które kończy się ujawnieniem klucza prywatnego.”
Firma OtterSec zajmująca się bezpieczeństwem Blockchain napisała, że transakcje „były podpisywane przez rzeczywistych właścicieli, co sugeruje jakiś rodzaj kompromisu klucza prywatnego. „
Te transakcje są podpisywane przez rzeczywistych właścicieli, co sugeruje jakiś rodzaj kompromisu klucza prywatnego. pic.twitter.com/UTMq4NWErd
– OtterSec (@osec_io) 3 sierpnia 2022
Solana, Phantom i Slope ujawniły, że badają exploit i wkrótce dostarczą dalszych informacji.
Inżynierowie z wielu ekosystemów, z pomocą kilku firm zajmujących się bezpieczeństwem, badają odsączone portfele na Solanie. Nie ma dowodów na to, że portfele sprzętowe zostały dotknięte.
Ten wątek będzie aktualizowany w miarę pojawiania się nowych informacji.
– Solana Status (@SolanaStatus) 3 sierpnia 2022
Tymczasem użytkownikom zalecono zaprzestanie korzystania ze skompromitowanego portfela. Sieć doradziła użytkownikom korzystanie z twardego portfela, podczas gdy niektórzy członkowie społeczności powiedzieli również, że wysłanie tokenów do scentralizowanej wymiany może chronić fundusze.
Na Solanie trwa aktywny incydent bezpieczeństwa. Wiele (7000+ i licząc) portfeli są drenowane z SOL & USDC. Nie znamy jeszcze przyczyny. Może chodzi o uprawnienia przyznawane aplikacjom. Dla naprawy, wysłać fundusze do zimnego portfela lub CEX jak @Binance https://t.co/nQrBXAgCbf
– CZ Binance (@cz_binance) 3 sierpnia 2022
Solana nodes are down
Dostępne informacje ujawniły również, że węzły Solana są obecnie wyłączone. Węzły zostały podobno umieszczone pod atakiem DDoS w celu spowolnienia hakera.
Wydaje się, że wiele węzłów RPC Solany przestało obsługiwać żądania, może to być spowodowane obciążeniem lub celowym działaniem.
Nie wpływa to w żaden sposób na łańcuch bazowy. Łańcuch działa normalnie.
Twój portfel lub eksplorator może się teraz nie ładować, łańcuch działa normalnie.
– Laine ❤️ stakewiz.com (@laine_sa_) August 3, 2022
Tymczasem blockchain Solana wciąż działa.
Członkowie społeczności kryptowalutowej zakwestionowali jednak zasadność ataku, ponieważ haker mógł kontynuować exploit, gdy sieć wznowi pełną działalność.
Na czas prasy, sieć Solana straciła około 2% swojej wartości w ciągu ostatnich 24 godzin i jest obecnie notowana za 39,87 USD.