Solana Hack, Slope Mobile Wallet Exploit’te Suçlandı
özetlemek gerekirse
Salı gecesi süregelen büyük ölçekli Solana cüzdan hackinin Slope mobil cüzdan uygulamasına bağlı olduğuna inanılıyor. Solana’nın geliştiricileri, etkilenen cüzdanlar için hususi anahtar ayrıntılarının “yanlışlıkla üçüncü bir tarafa aktarıldığına” inanıyor.
Binlerce Solana kullanıcısı Salı gecesinden Çarşamba gününün başlarına kadar toplu olarak ortalama 4,5 milyon dolar değerinde SOL ve öteki tokenleri yitirdi ve şimdi bunun ihtimaller içinde bir açıklaması var: mobil yazılım cüzdanı Slope’a bağlı bir hususi anahtar istismarından görevli tutuluyor.
Çarşamba öğleden sonrasında, resmi Solana Status Twitter hesabı, geliştiriciler ve güvenlik denetçileri arasındaki ortaklık kanalıyla ön bulguları paylaştı ve “etkilenen adreslerin bir noktada Slope mobil cüzdan uygulamalarında oluşturulmuş, içe aktarılmış yada kullanılmış benzer biçimde göründüğünü” söylemiş oldu.
“Bu istismar, Solana’daki bir cüzdana izole edildi ve Slope tarafınca kullanılan donanım cüzdanları güvende kalıyor” diye devam ediyor. “Bunun tam olarak iyi mi gerçekleştiğinin ayrıntıları hala araştırılıyor, sadece hususi anahtar detayları yanlışlıkla bir uygulama seyretme hizmetine iletildi.”
Hesap, “Solana protokolünün yada kriptografisinin tehlikeye atıldığına dair hiçbir kanıt yok” diye ekledi.
Saldırıda bazı Phantom cüzdanları da SOL’lerinden ve tokenlerinden çekildi, sadece bu cüzdan sahiplerinin daha ilkin bir Slope cüzdanı ile etkileşime girmiş olduğu görülüyor. Phantom ekibi bugün tweet attı: “Phantom, rapor edilen açıkların Slope’a ve Slope’dan hesapların içe aktarılmasıyla ilgili komplikasyonlardan kaynaklandığına inanmak için sebeplere haiz.”
Slope, Solana Status dizisinden derhal ilkin kendi ifadesini yayınladı. Slope cüzdanlarının saldırıya dahil edildiğini kabul ediyor, sadece ne işe yaradığını tam olarak detaylandırmıyor ve şirket saldırıların sorumluluğunu üstlenmedi.
Kısmen, “İhlalin doğasına ilişkin bazı hipotezlerimiz var, sadece hemen hemen hiçbir şey kati değil” diyor. “Topluluğun acısını hissediyoruz ve bağışık değildik. Kendi çalışanlarımızın ve kurucularımızın cüzdanlarının bir çok boşaldı.”
Slope’un ekibi, “Hala etken olarak teşhis koyuyoruz ve tam bir otopsi yayınlamaya, güveninizi geri kazanmaya ve bunu elimizden geldiğince doğru hale getirmeye kararlıyız” dedi.
Blockchain araştırmacısı Solscan’a bakılırsa, hücum eden dört cüzdandan birinin herhangi bir kırılgan cüzdandan kripto para birimini yada jetonları boşaltmasının üstünden beş saatten fazla süre geçti. Saldırganlar, Solana Status hesabının söylediği ortalama 8.000 benzersiz cüzdandan tahmini olarak 4,46 milyon dolar değerinde kripto para aldı.
Salı gecesi ve birçok Solana kullanıcısı ve platformu, başlangıçta, akıllı bir sözleşmeye evvelde verilen izinler kanalıyla cüzdanların istismar edildiğinden şüphelendi. Sadece işlemler, söz mevzusu cüzdanlar tarafınca imzalandı ve bu da güvenliği ihlal edilmiş hususi anahtarlar bulunduğunu gösteriyor.
Slope, kullanıcılarına yepyeni bir tohum cümlesi ile yeni bir cüzdan oluşturmalarını ve ona para aktarmalarını tavsiye ediyor. Ek olarak, donanım cüzdanları saldırıdan etkilenmedi ve potansiyel olarak devam eden açıklardan yararlanma durumunda varlıkları güvende tutmak için de önerilir.