Hack Solana, który ma już tydzień, wciąż jest niejasny. Phantom twierdzi, że nie ma żadnych luk w zabezpieczeniach, natomiast Slope twierdzi, że znalazł lukę w swoich usługach, ale nie jest pewien, co ma ona wspólnego z całym hakiem
Phantom twierdzi, że nie znalazł żadnych luk bezpieczeństwa w swoim systemie
Tydzień po wartym 4 miliony dolarów włamaniu na blockchain Solana (SOL), które dotknęło aż 9 tysięcy różnych portfeli i którego przyczyna wciąż nie jest znana, Phantom, jeden z dotkniętych portfeli, twierdzi, że nie ma żadnych wad, nad którymi mógłby ubolewać.
1/ Po prawie tygodniu dochodzenia nasz zespół nie znalazł żadnych dowodów na to, że systemy Phantoma zostały naruszone podczas incydentu bezpieczeństwa z 2 sierpnia.
Prace wciąż trwają, ale biorąc pod uwagę powagę sytuacji, chcemy dać aktualizację tego, co zrobiliśmy do tej pory.
– Phantom (@phantom) 9 sierpnia 2022
„Po prawie tygodniu dochodzenia nasz zespół nie znalazł żadnych dowodów na to, że systemy Phantoma zostały naruszone w incydencie bezpieczeństwa z 2 sierpnia. „
Według oświadczenia, Phantom przeszedł kilka audytów przeprowadzonych przez OtterSec i Halborn Security, dwie niezależne firmy specjalizujące się w audytach blockchain, które do tej pory nie miały żadnych wad do zgłoszenia.
Oświadczenie, które ma sens, potwierdzające twierdzenia zespołów technicznych Solany, że adresy, o których mowa, w tym czy innym czasie weszły w interakcję z aplikacją mobilną portfela Slope.
Slope w bardziej skomplikowanej sytuacji
W wydanym 11 sierpnia oświadczeniu, Slope przyznaje, że znalazł lukę w jednej ze swoich usług w okresie od 28 lipca do 3 sierpnia. Konkretnie, dziura pozwalała na „niezamierzone nagrywanie” wrażliwych danych w przypadku, gdy aplikacje generowały komunikat o błędzie.
Jednak według Slope’a, mimo że daty się pokrywają, to ta usterka nie jest odpowiedzialna za hack, który widzieliśmy. W informacji prasowej możemy zatem przeczytać:
Jak potwierdzono w poprzednich raportach okresowych Ottersec, zespół dochodzeniowy sprawdził krzyżowo wszystkie zhakowane adresy (w sumie 9 232 adresy) ze wszystkimi adresami wystawionymi na działanie luki w bazie danych Sentry: Liczba zhakowanych adresów jest większa niż całkowita liczba adresów wystawionych przez serwer Sentry. Potwierdzono zrzucenie ułamka (1 444 adresów) całkowitej ekspozycji serwera Sentry. „
Innymi słowy, liczba portfeli dotkniętych przez naruszenie w Slope jest mniejsza niż całkowita liczba portfeli zhakowanych.
Należy zauważyć, że Sentry Service, o którym wspomina Stok, odnosi się do pliku, na którym znajdowały się frazy seed poszczególnych portfeli. Raport OtterSec z 4 sierpnia stwierdził, że zwroty mnemotechniczne w folderze nie były zaszyfrowane i były zapisane czytelnym tekstem.
Na to Slope odpowiedział, że jest mało prawdopodobne, aby haker miał dostęp do wspomnianych kluczy, ponieważ plik był zabezpieczony 3-factor authentication i szyfrowaniem HTTPS.
5 sierpnia Stok wydał też oświadczenie, w którym obiecał hakerowi 10% nagrody, jeśli ten zwróci środki w ciągu 2 dni.