Что случилось с Solana: разбор эксплойта #news@cmd_crypto В | 😴
Что случилось с Solana: разбор эксплойта
#news@cmd_crypto
В ночь со 2 на 3 августа в сети Solana был обнаружен эксплойт, благодаря чему хакеры смогли обчистить порядка 12 тысяч кошельков на сумму более 6 миллионов долларов. Первоначальные предположения были вокруг уязвимости в самом блокчейне, но всё оказалось не так просто. Разберёмся, что же случилось.
Во-первых, как было выяснено в первый день атаки, в чем нас заверяли Solana Labs и лично Анатолий Яковенко — проблема не в блокчейне, его коде или каких-либо смарт контрактах. Было множество версий, вплоть до обвинения SolaLand и их проектов, но, как оказалось, ни одна из них не является правдой.
Правдой является то, что уязвимость нашлась там, где, казалось бы, её быть вообще не должно — в кошельке Slope. Да, основная масса жертв — те юзеры, которые создали свою сид-фразу именно в Slope и либо пользовались им, либо в дальнейшем экспортировали её в другие кошельки.
Во-вторых, как бы это глупо не звучало, но причиной всему является обычная халатность, по-другому назвать это нельзя. Всё дело в том, что мобильное приложение Slope отправляло ключи через TLS (криптографический протокол, обеспечивающий защищённую передачу данных) на собственный централизованный сервер Sentry. Затем эти ключи сохранялись в виде обычного текста без какого-либо даже простейшего шифрования, благодаря чему каждый, кто имел доступ к базе данных, мог ими воспользоваться.
В-третьих, проблема не была решена до сих пор. Дрейн, вроде как, прекратился, но официальных заявлений от Slope, что средства пользователей в безопасности не было. Зато было предупреждение с рекомендацией сгенерировать новую сид-фразу или вывести все средства на холодный кошелёк, что и мы вам советуем.
Возможно, что после устранения проблемы, у команды Slope найдутся силы, чтобы пообещать возврат средств. Откуда они их возьмут — неизвестно, но сумма не такая уж и большая. Как минимум, небольшая относительно недавнего хака бриджа Nomad, откуда злоумышленники вывели практически 200 миллионов долларов. Тем не менее, проект предпринимает шаги, чтобы вернуть деньги, хотя шансы крайне малы. Посмотрим что будут делать ребята из Slope.
Ну и, естественно, не забывайте про риск-менеджмент: не храните все свои активы в одном месте, не подключайтесь к недостоверным сайтам, не делитесь ни с кем ключами. Как оказалось, никогда неизвестно откуда может прийти беда.
VK / Telegram / Twitter / Discord
