Атака в основном затронула мобильные кошельки Solana, и большинство сообщений о взломе поступило от пользователей Phantom и Slope.
Более 8000 кошельков Solana (SOL) были лишены миллионов в результате атаки, которая началась поздно вечером 2 августа.
На данный момент более 8000 кошельков и ~$580M были украдены со следующих 4 адресов.
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy pic.twitter.com/N7wJlCOi8p— MistTrack️ (@MistTrack_io) August 3, 2022
Однако Пекшилд отметил, что общий ущерб оценивается менее чем в $10 млн, если убрать стоимость неликвидных монет, участвовавших в атаке.
PeckShieldAlert Широкомасштабный взлом кошельков Solana, вероятно, связан с проблемой цепочки поставок, используемой для кражи/скрытия приватных ключей пользователей, находящихся в кошельках аффекта. На данный момент потери оцениваются в $8M, не считая одного неликвидного шиткоина (только 30 холдов & возможно, неправильно оцененного в $570M) pic.twitter.com/aTGNsTc6d8
— PeckShieldAlert (@PeckShieldAlert) August 3, 2022
Атака в основном затронула мобильные кошельки Solana, подключенные к интернету, такие как Phantom, Solflare, TrustWallet и Slope. Но большинство сообщений о нарушении поступило от пользователей Phantom и Slope.
Причина взлома и личность хакеров остаются неизвестными.
Тем временем были идентифицированы четыре кошелька, на которых хранятся все украденные средства.
Эксплойт опустошил Solana, другие токены на основе Solana и USDC. Оттер добавил, что эксплойт также затронул некоторых пользователей Ethereum (ETH).
Причина атаки пока неизвестна
Криптосообщество по-прежнему в растерянности относительно причины этого эксплойта.
Сооснователь Solana Foundation Анатолий Яковенко заявил, что эксплойт «похож на атаку цепочки поставок iOS», и это мнение разделяют некоторые другие члены сообщества.
Похоже на атаку по цепочке поставок iOS. Пострадали несколько правдоподобных кошельков, которые только получали sol и не имели никаких взаимодействий помимо получения. https://t.co/ne0g3ZmLH5
А также ключи, которые были импортированы в iOS и сгенерированы извне.https://t.co/hStAr1mU6Q
— SMS aey.sol, (@aeyakovenko) August 3, 2022
PSA: Если вы используете кошелек Phantom или Slope на Solana, пожалуйста, как можно скорее переведите свои средства на биржу или аппаратный кошелек.
Продолжается атака, истощающая эти кошельки. Скорее всего, это атака на цепочку поставок.
ps Средства на кошельке Fox — Safu, потому что LavaMoat — GOAT.
— Mudit Gupta (@Mudit__Gupta) August 3, 2022
Два важных урока:
— Solana была написана на Rust, который позиционируется как безопасный язык. Сам по себе язык не обеспечивает высокую безопасность. Именно поэтому мы выбрали язык C.
— Наиболее вероятной причиной является атака на цепочку поставок. Именно поэтому в Cellframe почти нет сторонних компонентов https://t.co/4FWlieKj5U— Дмитрий Герасимов (@naeper) August 3, 2022
По словам Кристины Ким, атака на цепь поставок «похожа на атаку в стиле троянского коня, когда хакер незаметно для всех внедряет вредоносный код в один из репозиториев GitHub или библиотеки, на которые полагается и которые использует целевое приложение/продукт»
По сути, атака на цепь поставок похожа на атаку в стиле «троянского коня», когда хакер незаметно для всех внедряет вредоносный код в один из репозиториев GitHub или библиотеки, на которые полагается целевое приложение/продукт и которые он использует.
— Кристин Ким (@christine_dkim) 3 августа 2022
Эмин Гюн Сирер, генеральный директор Ava labs, назвал четыре возможные причины эксплойта. По его словам, атака могла быть вызвана «атакой цепочки поставок», «неисправным генератором случайных чисел» или «эксплойтом браузера/нулевым днем».
В настоящее время продолжается атака на экосистему Solana. Пострадало 7000+ кошельков, и их количество растет со скоростью 20 в минуту. Поскольку еще очень рано и атака продолжается, существует много дезинформации и спекуляций. Поэтому вот несколько мыслей и разъяснений.
— Emin Gün Sirer (@el33th4xor) August 3, 2022
Однако эти причины имеют разные лазейки, что затрудняет возложение ответственности за атаку на любую из них.
Сирер продолжил, что возможной причиной этого взлома может быть «потенциальное повторное использование nonce, которое в итоге раскрывает закрытый ключ».
Фирма OtterSec, занимающаяся безопасностью блокчейна, написала, что транзакции «подписываются фактическими владельцами, что указывает на некую компрометацию закрытого ключа. «
Эти транзакции подписываются реальными владельцами, что наводит на мысль о компрометации закрытого ключа. pic.twitter.com/UTMq4NWErd
— OtterSec (@osec_io) August 3, 2022
Solana, Phantom и Slope сообщили, что они расследуют эксплойт и скоро предоставят дополнительную информацию.
Инженеры из нескольких экосистем с помощью нескольких фирм, занимающихся безопасностью, исследуют слитые кошельки на Solana. Нет никаких доказательств того, что аппаратные кошельки были затронуты.
Эта тема будет обновляться по мере поступления новой информации.
— Solana Status (@SolanaStatus) Август 3, 2022
Тем временем пользователям было рекомендовано прекратить использование взломанного кошелька. Сеть посоветовала пользователям использовать жесткий кошелек, а некоторые члены сообщества также заявили, что отправка токенов на централизованную биржу может защитить средства.
На Solana происходит активный инцидент безопасности. Многие (7000+ и более) кошельки слиты с SOL & USDC. Пока не известна основная причина. Возможно, разрешения, выданные приложениям. Для устранения проблемы отправьте средства на холодный кошелек или CEX, например, @Binance https://t.co/nQrBXAgCbf
— CZ Binance (@cz_binance) August 3, 2022
Соланские узлы не работают
По имеющейся информации, узлы Solana в настоящее время не работают. По сообщениям, узлы были подвергнуты DDoS-атаке, чтобы замедлить действия хакеров.
Многие узлы RPC Solana, похоже, перестали обслуживать запросы, возможно, из-за нагрузки или намеренно.
Это никак не влияет на основную цепочку. Цепочка работает в обычном режиме.
Ваш кошелек или проводник может не загружаться прямо сейчас, цепочка работает в обычном режиме.
— Laine ❤️ stakewiz.com (@laine_sa_) August 3, 2022
Между тем, блокчейн Solana все еще работает.
Однако члены криптосообщества поставили под сомнение рациональность атаки, поскольку хакер мог продолжить использование эксплойта, когда сеть возобновит полноценную работу.
По состоянию на момент публикации сеть Solana потеряла около 2% своей стоимости за последние 24 часа и в настоящее время торгуется по цене $39,87.