Во вторник поздно вечером неизвестный злоумышленник вывел тысячи кошельков, содержащих криптовалюты Solana и USDC на сумму не менее $4 млн. Взлом, который все еще продолжался в 20:00 вечера по тихоокеанскому времени, был произведен на браузерном кошельке Solana Phantom и, как полагают, скомпрометировал ключи пользователей — возможно, с использованием seedphrases, которые повторно использовались в кошельках на разных цепочках.
«Более 5 000 кошельков Solana были опустошены за последние несколько часов», — сообщила компания OtterSec, занимающаяся аудитом блокчейна, ранее вечером. «Эти транзакции подписаны реальными владельцами, что указывает на некую компрометацию приватного ключа». Спустя некоторое время Watcher Guru обновил счет до 8 000.
Инженеры по всему Интернету, включая блокчейны, отличные от Solana, работали вместе, пытаясь понять причину эксплойта и его масштабы. «Мы активно общаемся с командами пострадавших кошельков, чтобы предложить свою помощь и проследить, можем ли мы что-то сделать, чтобы наши пользователи были в большей безопасности», — сообщил Decrypt представитель Ethereum-кошелька MetaMask.
UPDATE: Более 8000 кошельков #Solana стали жертвами продолжающегося взлома, и их число растет с каждой минутой.
— Watcher.Guru (@WatcherGuru) 3 августа 2022 г.
Первоначальные сообщения выделяли браузерный кошелек Solana Phantom и экосистему Solana. Новость уже вызвала падение стоимости Solana на 8% за два часа после первых сообщений об атаке, по данным CoinMarketCap, который также отмечает 45-процентное увеличение объема торгов за последние 24 часа.
«В настоящее время неизвестный эксплойт $SOL опустошает случайные кошельки Phantom», — сказал криптоинвестор и аналитик Майлз Дойчер. «В настоящее время украдено $6 млн. Если у вас есть средства на Phantom, обязательно отмените все разрешения + перейдите на аппаратный кошелек».
Популярная торговая площадка Solana NFT Magic Eden также обратилась в Twitter, чтобы предупредить об эксплойте.
«Похоже, что существует широко распространенный SOL-эксплойт, который опустошает кошельки по всей экосистеме», — написал аккаунт. В твите Magic Eden предоставил инструкции по удалению разрешений для подозрительных ссылок.
Компания Phantom заявила, что расследует сообщения об эксплойтах.
«Мы тесно сотрудничаем с другими командами, чтобы разобраться в сообщенной уязвимости в экосистеме Solana», — написал Phantom в Твиттере. «На данный момент команда не считает, что это проблема, специфичная для Phantom. Как только мы соберем больше информации, мы выпустим обновление».
Мы тесно сотрудничаем с другими командами, чтобы выяснить причину обнаруженной уязвимости в экосистеме Solana. На данный момент команда не считает, что это проблема, специфичная для Phantom.
Как только мы соберем больше информации, мы выпустим обновление.
— Phantom (@phantom) 3 августа 2022 г.
Но атака, похоже, не ограничивается Соланой. Другой пользователь сообщил, что его баланс USDC также был опустошен.
Только что с моего USDC были сняты средства AMA🙁
— Justin.sol (@JustinBarlow) 3 августа 2022 г.
Пользователь Твиттера Джастин «Justin.sol» Барлоу написал: «Мои ERC-20 и SPL USDC, хранящиеся на @slope_finance и @TrustWallet, были слиты».
Для справки, я не взаимодействовал ни с какими контрактами вообще в течение ~40 дней. Мои ERC-20 и SPL USDC, хранящиеся на @slope_finance и @TrustWallet, были слиты.
— Justin.sol (@JustinBarlow) 3 августа 2022 г.
Криптоаналитик и автор @0xfoobar подтвердил, что «злоумышленник крадет как нативные токены (SOL), так и токены SPL (USDC)… затрагивая кошельки, которые были неактивны менее 6 месяцев».
Предположив, что это может быть «атака на цепочку поставок зависимостей», он добавил, что распространенный совет отозвать одобрение кошелька, скорее всего, не поможет — только перевод на офлайновый аппаратный кошелек.
«Эти переводы SOL и SPL подписываются самими пользователями, а не передаются третьей стороной с помощью одобрений», — объясняет @0xfoobar. «Поэтому, хотя вы можете отозвать подпись, скорее всего, что-то вызвало широкомасштабную компрометацию закрытого ключа».
«Нет никакого способа «взаимодействия» сделать кошелек уязвимым», — уточняет соучредитель Solana Labs Анатолий Яковенко. «Только специальное делегирование токенов, автоматическое одобрение или утечка семян может перевести активы из кошелька от имени пользователя. Поскольку системные переводы происходят, это исключает делегирование».
Только делегирование конкретного токена, автоматическое одобрение или утечка семян может перевести активы с кошелька от имени пользователя. Поскольку системные переводы происходят, это исключает делегирование. Никакое «взаимодействие» не может сделать кошелек уязвимым https://t.co/Pdrmjk1WYZ.
— SMS T◎ly, 🇺🇸 (@aeyakovenko) August 3, 2022
В типичной моде крипто-взломов, люди следили за кошельками предполагаемого злоумышленника, которые на данный момент были идентифицированы как:
- https://solscan.io/account/Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV#solTransfers
- https://solscan.io/account/CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu#solTransfers
- https://solscan.io/account/5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n#splTransfers
- https://solscan.io/account/GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy#solTransfers
Эксплойт последовал по пятам за вчерашним взломом Nomad Bridge, в ходе которого вор унес около 190 миллионов долларов.
Отзывы