어제의 먼지가 가라앉으면서 Solana 생태계 소동이 벌어졌습니다. 지갑 제공업체인 Slope가 수천 명의 Solana 사용자로부터 암호화폐를 훔친 보안 악용에 대한 대부분의 책임이 있다는 데이터가 표면화되고 있습니다.
Slope는 Solana Layer-3(L1) 블록체인을 위한 Web1 지갑 제공업체입니다. 솔라나 재단은 수요일 솔라나 스테이터스 트위터 계정을 통해 슬로프를 손가락으로 가리키며 "영향을 받는 주소가 한 지점에서 슬로프 모바일 지갑 애플리케이션에서 생성, 가져오기 또는 사용된 것으로 보인다"고 말했다.
개발자, 생태계 팀 및 보안 감사자의 조사 후 영향을 받는 주소가 한 시점에서 Slope 모바일 지갑 애플리케이션에서 생성, 가져오기 또는 사용된 것으로 나타났습니다. 1/2
— 솔라나 상태(@SolanaStatus) 2022 년 8 월 3 일
솔라나의 공동 설립자인 아나톨리 야코벤코(Anatoly Yakovenko)도 자신의 개인 트위터 계정에서 슬로프 지갑을 해킹에 연결했다. 그는 사용자에게 다음과 같이 조언했습니다. 재생 가능한 한 빨리 Slope가 아닌 다른 서비스의 시드 문구. 그는 또한 영향을 받는 사용자에게 "콜드/핫 월렛 분리 연습을 시작하십시오"라고 말했습니다.
공격자는 모든 경로를 운전하는 데 게으릅니다. 많은 팬텀 사용자는 슬로프 주소가 소모되는 것을 보았습니다. 나는 슬로프를 만진 사람에게 가능한 한 빨리 다른 지갑에서 자신의 시드 문구를 재생성하라고 조언하고 싶습니다.
— SMS aey.sol, (@aeyakovenko) 2022 년 8 월 3 일
Solana 기반 지갑 익스플로잇은 커뮤니티가 그들의 암호화 지갑에 대해 보고하기 시작한 후 화요일에 처음으로 나타났습니다. 배수되고 있었다 그들의 솔라나(SOL) 및 기타 토큰. 그것은이다 예상 약 8만 달러의 암호화폐가 거의 8,000개의 지갑에서 도난당했습니다..
솔라나 재단은 조사를 통해 익스플로잇에 노출된 각 지갑의 개인 키가 “무심코 슬로프와 같은 애플리케이션 모니터링 서비스로 전송됐다”고 판단했다.
솔라나 프로토콜이나 그 암호화가 공격의 위험에 처해 있다는 증거는 없다고 덧붙였다.
Slope가 가질 수 있는 일부 보고서는 로그인 중앙 서버의 사용자 시드 문구. 서버가 손상되어 해커가 트랜잭션을 실행하는 데 사용할 수 있는 시드 문구가 유출되었을 수 있습니다.
당일 공격에 대한 이전 보고서에 따르면 Slope 및 Phantom 핫월렛 사용자가 대상, 많은 사람들이 Solana 프로토콜에 더 광범위한 문제가 있을 수 있다고 믿게 만듭니다. 그러나 Solana의 커뮤니케이션 책임자인 Austin Fedora가 공유한 추가 분석 발견 문제가 핫 월렛에만 국한되었다는 것입니다.
페도라는 공격 피해자의 60%가 팬텀 사용자였지만 영향을 받은 사람들은 팬텀을 사용하여 시드 문구를 생성하지 않았다고 말했습니다.
우리는 데이터를 수집하기 위해 Typeform을 가동했고 결과는 명확했습니다. 유출된 사람들 중 ~60%는 Phantom 사용자이고 40%는 Slope 사용자였습니다. 그러나 광범위한 인터뷰와 커뮤니티에 대한 요청 후에 지갑이 고갈된 Phantom-forever 사용자는 한 명도 찾을 수 없었습니다.
— 오스틴 페데라 | SMS (@Austin_Federa) 2022 년 8 월 3 일
슬로프는 성명을 발표했다. 주소 지정 수요일에 사건에 대한 진행중인 조사의 상태는 "Slope 지갑의 코호트가 유출로 인해 손상되었습니다"라고 확인했으며 일부는 자체 직원에 속했습니다.
관련 : GitHub는 암호화를 포함하여 프로젝트에 영향을 미치는 광범위한 맬웨어 공격에 직면해 있습니다.
팀은 Slope 지갑 사용자에게 나중에 악용될 수 있는 기존 지갑에 자금을 보관하는 것보다 새로운 고유한 시드 문구를 생성하고 모든 자금을 이 지갑으로 이체할 것을 촉구했습니다. Phantom 팀은 다음과 같이 경고를 강화했습니다. 조언 사용자는 자산을 새로운 비 Slope 지갑으로 이동합니다.
출처: https://cointelegraph.com/news/slope-wallets-blamed-for-solana-based-wallet-attack