最初のように 報告 水曜日の早朝、CryptoSlate による重大なエクスプロイトにより、数千の暗号ウォレットが資金を流出させられました。 インシデントが進行中であるため、最初のレポートがリリースされました。 ただし、 フォローアップ記事 Slope FInance への接続に関する詳細情報が明らかになりました。
エクスプロイトの起源に関する情報がついに明らかになりました。 Slope は水曜日の夜、すべてのウォレット所有者に、Slope にインポートされたウォレット内の資金を移動するようアドバイスする声明を発表しました。 警告は、「Slope で使用していたのと同じシード フレーズをこの新しいウォレットで使用することはお勧めしません」と述べたアドバイスに拡大されました。
資金が枯渇したときに多くのユーザーが使用していたもう XNUMX つの Solana ウォレットである Phantom は、「Slope Finance との間でのアカウントのインポートに関連する問題」を特定する声明を発表しました。
1/ Phantom には、報告されたエクスプロイトが、アカウントのインポートとインポートに関連する複雑な問題によるものであると信じるに足る理由があります。 @slope_finance.
このインシデントの原因となった他の脆弱性があったかどうかを特定するために、引き続き積極的に取り組んでいます。 https://t.co/W5B19gbMJX
—ファントム(@phantom) 2022 年 8 月 3 日
Solana Foundation が運営する Solana Status Twitter アカウントも、Slope モバイル ウォレットとの関係を確認する声明を発表しました。
開発者、エコシステム チーム、およびセキュリティ監査人による調査の結果、影響を受けるアドレスは、ある時点で Slope モバイル ウォレット アプリケーションで作成、インポート、または使用されたようです。 1/2
—ソラナステータス(@SolanaStatus) 2022 年 8 月 3 日
ソラナ財団は Twitter スレッドで、「秘密鍵情報がアプリケーション監視サービスに誤って送信された」ことを明らかにしました。
悲劇的な物語の明るい兆しは、 表示されません ブロックチェーンまたはシード生成の問題になります。 Solana ブロックチェーンの暗号証明の欠陥は、暗号エコシステム全体に壊滅的な影響を与える可能性があります。 しかし、これはもはや問題ではないようで、Solana Foundation は、「Solana プロトコルまたはその暗号化が侵害されたという証拠はない」と断言しています。
Moon Rank NFT のログのスクリーンショットで、Foobar は、Slope API 呼び出し内に秘密鍵とニーモニック フレーズが含まれている可能性を強調しました。 POST リクエストは SSL 暗号化を介して送信されたように見えますが、シード フレーズが含まれているという事実は厄介です。 考えられる原因は、悪意のあるアクターが XNUMX つの当事者間の通信を傍受して機密情報を盗むことができる中間者攻撃でした。
からの MITM ログ @moonrankNFT POST 要求を介して Slope サーバーに渡されるニーモニックを示します。 ウォレット名はまったくの偶然 pic.twitter.com/qL9C49ipvV
— foobar(@ 0xfoobar) 2022 年 8 月 3 日
少し心配なことに、ユーザーはまだ「人生で一度も Slope を使ったことがない」と宣言していますが、それでも彼らの財布は使い果たされていました。 ユーザーは、Trust Wallet アカウントの資金が流出していると報告していますが、これらのアカウントは限られています。
エクスプロイトによって失われた総額はまだ不明ですが、580 億 XNUMX 万ドルもの高額の数字が報告されています。 財布 」は、SolScan で、570 億 10 万ドルの残高でエクスプロイトに関与しているとフラグが立てられました。 ただし、これらの資金のほとんどは EXIST トークンからのものであり、CoinMarketCap または CoinGecko のいずれでも追跡されていないため、利用される液体の量は XNUMX 万ドル未満である可能性が高くなります。
Binance の創設者兼 CEO である CZ は、Slope Finance でウォレットを使用したすべてのユーザーに、資金を新しいウォレットに移動するか、「秘密鍵またはシード フレーズ」という言葉を理解していない場合は Binance に移動することを推奨しています。
過去に Slope ウォレット (SOL 用) を使用したことがある場合は、できるだけ早く資金を別のウォレットに移動してください。 古いウォレットを「インポート」しないでください。 新しい秘密鍵またはシード フレーズを使用します。 これらの言葉の意味がわからない場合は、SOL を @binance. 簡単な方法。 https://t.co/t1lYcgaX5z
— CZ? Binance(@cz_binance) 2022 年 8 月 3 日
ソース: https://cryptoslate.com/solana-exploit-related-to-imported-slope-finance-wallets-private-keys-revealed/