Seperti pada mulanya dilaporkan oleh CryptoSlate awal pagi Rabu, eksploitasi yang ketara telah menyebabkan beribu-ribu dompet kripto kehabisan dana. Laporan awal dikeluarkan kerana insiden itu sedang berlangsung; namun, a artikel susulan mendedahkan lebih banyak maklumat mengenai sambungan kepada Slope Fnance.
Maklumat akhirnya terbongkar tentang asal usul eksploitasi itu. Slope mengeluarkan kenyataan pada petang Rabu menasihatkan semua pemilik dompet untuk memindahkan sebarang dana dalam dompet yang diimport ke Slope. Amaran itu diperluaskan pada nasihat untuk menyatakan bahawa ia "tidak mengesyorkan menggunakan frasa benih yang sama pada dompet baharu ini yang anda miliki di Slope."
Phantom, satu lagi dompet Solana yang digunakan oleh ramai pengguna apabila dana habis, membuat kenyataan mengenal pasti "komplikasi yang berkaitan dengan mengimport akaun ke dan dari Slope Finance."
1/ Phantom mempunyai sebab untuk mempercayai bahawa eksploitasi yang dilaporkan adalah disebabkan oleh komplikasi yang berkaitan dengan mengimport akaun ke dan dari @slope_finance.
Kami masih giat berusaha untuk mengenal pasti sama ada terdapat kelemahan lain yang menyumbang kepada kejadian ini. https://t.co/W5B19gbMJX
- Hantu (@phantom) Ogos 3, 2022
Akaun Twitter Status Solana, yang dikendalikan oleh Yayasan Solana, juga mengeluarkan kenyataan yang mengesahkan hubungan dengan dompet mudah alih Slope.
Selepas penyiasatan oleh pembangun, pasukan ekosistem dan juruaudit keselamatan, nampaknya alamat yang terjejas pada satu ketika dibuat, diimport atau digunakan dalam aplikasi dompet mudah alih Slope. 1/2
- Status Solana (@SolanaStatus) Ogos 3, 2022
Dalam benang Twitter, Yayasan Solana mendedahkan bahawa "maklumat kunci peribadi secara tidak sengaja dihantar ke perkhidmatan pemantauan aplikasi."
Lapisan perak dalam kisah tragis ialah isunya tidak muncul menjadi isu rantaian blok atau penjanaan benih. Kecacatan dalam bukti kriptografi blok Solana boleh mendatangkan kesan buruk ke atas keseluruhan ekosistem kripto. Walau bagaimanapun, ini nampaknya tidak lagi terdapat dalam kad, dan Yayasan Solana mengesahkan bahawa "tiada bukti protokol Solana atau kriptografinya telah dikompromi."
Dalam tangkapan skrin log daripada Moon Rank NFT, Foobar menyerlahkan kemungkinan kemasukan kunci peribadi dan frasa mnemonik dalam panggilan API Cerun. Walaupun permintaan POST nampaknya telah dihantar melalui penyulitan SSL, fakta bahawa frasa benih disertakan adalah merisaukan. Punca yang mungkin adalah serangan lelaki di tengah-tengah di mana pelakon yang berniat jahat boleh mendengar komunikasi antara dua pihak untuk mencuri maklumat sensitif.
MITM log dari @MoonRankNFT tunjukkan mnemonik dihantar ke pelayan Slope atas permintaan POST. Nama dompet adalah kebetulan semata-mata pic.twitter.com/qL9C49ipvV
- foobar (@ 0xfoobar) Ogos 3, 2022
Agak membimbangkan, pengguna masih mengisytiharkan bahawa mereka "tidak pernah menggunakan Slope dalam hidup [mereka]," namun dompet mereka masih kehabisan. Pengguna juga telah melaporkan akaun Trust Wallet kehabisan dana, tetapi akaun ini terhad.
Jumlah nilai yang hilang daripada eksploitasi itu masih belum diketahui, tetapi angka setinggi $580 juta telah dilaporkan sebagai beg duit ” telah dibenderakan di SolScan sebagai terlibat dalam eksploitasi dengan baki $570M. Walau bagaimanapun, kebanyakan dana ini adalah daripada token EXIST, yang tidak dijejaki sama ada pada CoinMarketCap atau CoinGecko, jadi jumlah cecair yang dieksploitasi berkemungkinan kurang daripada $10 juta.
Pengasas dan Ketua Pegawai Eksekutif Binance, CZ, kini juga telah mengesyorkan semua pengguna yang telah menggunakan dompet di Slope Finance memindahkan dana ke dompet baharu atau ke Binance jika anda tidak memahami perkataan "kunci peribadi atau frasa benih."
Jika anda menggunakan dompet Slope (untuk SOL) pada masa lalu, pindahkan dana anda ke dompet lain SEGERA. Jangan "import" dompet lama. Gunakan kunci peribadi baharu atau frasa benih. Jika anda tidak tahu maksud perkataan tersebut, hantarkan SOL anda kepada @binance. Cara yang mudah. https://t.co/t1lYcgaX5z
- CZ? Binance (@cz_binance) Ogos 3, 2022
Sumber: https://cryptoslate.com/solana-exploit-related-to-imported-slope-finance-wallets-private-keys-revealed/