Украденные миллионы долларов в сети Solana превысили отметку в 8 млн.$ на момент публикации. Злоумышленник выкачивает токены SOL и SPL из кошельков Slope и Phantom, (TrustWallet по неподтвержденным данным). На момент публикации материала, точной причины возникновения эксплойта (Эксплойт — программа или фрагмент программного кода, а так же последовательность команд, использующие уязвимости в программном обеспечении) выяснить не удалось.
Сообщается, что атаке больше всего подверглись пользователи кошельков TrustWallet, Phantom и Slope. Особое внимание для хакеров привлекли кошельки не активные более шести месяцев. Есть информация, что эксплойт может затронуть и пользователей ETH.
Представители из Solana Labs заявили, что расследования в нарушениях показывают, что нет доказательств в том, что именно сеть Solana виновна в эксплойте.
Содержание:
Аудиторы и сообщества
Блокчейн-аудитор OtterSec изначально сообщил о 5000 кошельков, которые были опустошены (Позднее цифра по информации SolanaStatus достигла 7767). Как сообщает аудитор, все транзакции были подписаны владельцами, а значит предполагает компрометацию закрытого ключа. Событие спровоцировало волну тревожности для всех пользователей сети Solana.
Сообщество разработчиков сообщило о известности проблемы и начало сотрудничество с многими аудиторами и системами безопасности. Команда разработчиков Phantom (самый популярный кошелек в сети Solana), высказали заинтересованность в сотрудничестве с другими командами, для решения сложившейся ситуации.
Magic Eden рекомендовал отозвать все сделки и разрешения в кошельке Phantom. Игровая компания Star Atlas выступила с предупреждением к сообществу. Рекомендуется отозвать все операции и перевести средства в холодные хранилища.
PeckShield (крупнейший аудитор безопасности блокчейн индустрии) оценил масштаб убытков, который составляет около 8 млн.$ , не считая токены и NFT. Причиной эксплойта в своем разбирательстве, как и коллеги из OtterSec, указали раскрытие закрытых ключей.
Проблема быстро получила мировую огласку, Чанпэн Чжао (CEO Binance), предложил отправить свои активы на CEX, к примеру Binance или холодные кошельки.
Уязвимостей в сетях становится все больше, а данный случай не является индивидуальным. В заинтересованности быстрого выхода на рынок проекты и блокчейн индустрия все чаще пренебрегает мерами безопасности. Все чаще хакеры вскрывают уязвимости в смарт-контрактах, исходных кодах. Данного рода ошибки выявляются как у новых, так и у старых проектов криптовалютного мира. По данным Atlas VPN в первой половине года злоумышленниками было украдено почти 2млрд. $ у криптопроектов.