,en криптовалюта супольнасць усё яшчэ прыходзіць да згоды з Саланай (SOL) узлом праграмных кашалькоў, што прывяло да страты не менш за 4.5 мільёна долараў. Першапачатковае расследаванне паказвае, што ўзлом адбыўся з-за эксплойта ў пэўных кашальках, уключаючы Slope і Phantom.
Пасля ўзлому, Салана Распрацоўшчыкі паказалі, што яны вызначылі асноўную прычыну эксплойта як скампраметаваныя прыватныя ключы, «створаныя, імпартаваныя або выкарыстаныя ў праграмах мабільнага кашалька Slope».
Нягледзячы на тое, што частка супольнасці абвінаваціла ва ўзломе Салану, новы аналіз эксплойта, здаецца, вызваляе сетку ад любой адказнасці.
У серыі твітаў ад 3 жніўня Web 3.0 на базе тэхналогіі блокчэйн Point Network адзначыў, першая прыкмета таго, што Салана не вінаваты, - гэта тое, што былі закрануты толькі два сеткавыя кашалькі. Аналіз працягваў разбіваць тое, што адбылося з кашалькамі, намякаючы, што слабая дэцэнтралізаваная двухфактарная аўтэнтыфікацыя можа быць асноўнай прычынай.
Салана не ў стане адрозніць сапраўдных і фальшывых карыстальнікаў
Згодна з аналізам, відаць, што трэці бок атрымаў доступ да закрытых ключоў, і ў гэтым выпадку Салана не можа адрозніць сапраўдных уладальнікаў ад ілжывых.
«Па сутнасці, корань праблемы ў тым, што сетка Solana не мае магчымасці адрозніць сапраўднага ўладальніка ад фальшывага, каб дазволіць толькі сапраўднаму ўладальніку атрымаць доступ да вяртання грошай», — заявілі ў Point Network.
Акрамя таго, у Point Network адзначылі, што эксплойт таксама можа быць выкананы з дапамогай некалькіх подпісаў і апаратныя кашалькі, але падыход вельмі малаверагодны. Цікава, што Салана таксама пацверджаны 3 жніўня, што няма доказаў таго, што былі закрануты апаратныя кашалькі ў сетцы.
Тым не менш, Point Network таксама выключыла магчымасць выкарыстання кашалька сховішча з-за функцыі блакіроўкі часу, якая ўсталёўвае пэўны час для пацверджання транзакцый. Дзякуючы функцыянальнасці кашалькоў у рэальным часе, зламыснік можа адмовіцца ад крадзяжу сродкаў, так як сапраўдны ўладальнік можа адмяніць транзакцыю і адправіць іх назад у сховішча.
Даследчыкі адзначылі, што калі транзакцыі не аспрэчваюцца, яны будуць пацверджаны без неабходнасці ключоў.
Любая сетка можа быць закранута
У канчатковым выніку аналіз прыйшоў да высновы, што такая атака можа закрануць любую сетку, а не толькі Solana.
«Гэта спрацуе не толькі ў глабальнай сітуацыі, калі так ці інакш закрануты тысячы кашалькоў, але і ў звычайных умовах, калі ваш прыватны ключ выпадкова ўцеча або ваша прылада будзе скампраметавана. І гэта можа працаваць для *ўсіх* сетак, а не толькі для Solana», — дадала Point Network.
Характэрна, што сцвярджэнне супадае з меркаваннем Phantom, сцвярджаючы, што ён «не лічыць, што гэта праблема, звязаная толькі з Phantom».
Нягледзячы на тое, што падрабязнасці ўзлому застаюцца ў асноўным незразумелымі, Салана адзначыў, што былі закрануты прыкладна 7,767 кашалькоў, арыентаваных як на мабільныя кашалькі, так і на пашырэнні браўзераў.
Крыніца: https://finbold.com/solana-wallets-hack-explained-and-why-it-is-not-the-teams-fault/