Інжынеры выявілі памылку кашалька Slope Wallet, якая стаіць за ўзломам кампаніі Solana на 6 мільёнаў долараў

Пасля інтэнсіўнага 24-гадзіннага перыяду даследчыкі бяспекі і інжынеры Solana Labs звязалі нядаўні ўзлом пэўных кашалькоў на базе Solana з крытычнай памылкай у аднаго пастаўшчыка паслуг кашалькоў. Распрацоўшчыкі Slope Finance памылкова адправілі код, які дазваляў перадаваць створаныя карыстальнікам пачатковыя фразы зламысніку ў выглядзе звычайнага тэксту. 

Хак меў мэтавыя закрытыя ключы, звязаныя з экасістэмай Solana, з узламанымі кашалькамі, якія аўтаматычна падпісваюць транзакцыі без аўтарызацыі карыстальніка. Хакеры перавялі актывы SOL і USDC карыстальнікаў.

Хаця некаторыя карыстальнікі іншых кашалькоў, такіх як Phantom, Trust Wallet і Solflare, таксама пацярпелі, вынікі паказваюць, што гэтая катэгорыя карыстальнікаў у нейкі момант стварыла або перадала сваю пачатковую фразу праз Slope Finance.

Каманда Саланы ўдакладніла, што атака не паўплывала на базавую сетку, паколькі яна заставалася цалкам функцыянальнай на працягу ўсяго інцыдэнту. Паводле ацэнак, было асушана 7950 кашалькоў, у выніку чаго хакер атрымаў каля 6 мільёнаў долараў незаконнага прыбытку.

Рызыкі бяспекі Web3 захоўваюцца

Апошнія навіны аб узломе кашалька Solana прыходзяць менш чым Праз 24 гадзіны пасля таго, як хакеры асушылі міжланцуговы пратакол Nomad Bridge амаль 200 мільёнаў долараў. Аглядальнікі галіны згодныя з тым, што распаўсюджанасць гэтых рызык бяспекі падрывае грамадскі інтарэс да эксперыменту Web3 і патэнцыйна можа аслабіць апетыт інвестараў. Тым не менш, гэтыя інцыдэнты даюць магчымасць індустрыі ліквідаваць такія рызыкі бяспекі на шляху да масавага ўкаранення.

Напрыклад, узлом кашалька Solana Slope цесна звязаны з закрытым зыходным кодам кодавай базы праекта. Такіх інцыдэнтаў можна пазбегнуць, калі праекты Web3 будуць распрацоўвацца з адкрытым зыходным кодам. Між тым, карыстальнікі таксама могуць дадаць моцны ўзровень бяспекі, выкарыстоўваючы бяспечныя апаратныя кашалькі, якія захоўваюць закрытыя ключы ў аўтаномным рэжыме.