【動的関心】一件不可解なSolanaのセキュリティ事故
整理:念青,链捕手
北京时间8月3日凌晨、Solanaで大規模なセキュリティ事故が発生したとの報告があり、原稿執筆時点で9000以上のウォレットが影響を受けており、現在もハッカーの身元は不明で、脆弱性の特定も不明確で、Solana上のウォレットは引き続き侵害されています。今回のSolana盗難事件は、現在の暗号業界で影響を受けた範囲が最も広いセキュリティ事故であり、業界内の多くの著名な開発者やエンジニアが共同で参加しているにもかかわらず、盗難の原因が未だに調査されていないことから、非常に不明瞭な状況です。チェーンキャッチャーは再度、ユーザーに資金の安全に注意するよう呼びかけています。
この記事では、Solanaに関する最新の動向を時系列で更新していきますので、引き続きご注目ください。
一、リアルタイムデータリンク:
1、盗まれたウォレットアドレス数:9224
2、盗まれた金額:$5,927,974
3、ハッカーのウォレットアドレス:
https://solscan.io/account/Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
https://solscan.io/account/CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
https://solscan.io/account/GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
https://solscan.io/account/5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
4、SolscanによるSolanaの脆弱性に関するデータのまとめ:
https://beta-analysis.solscan.io/public/dashboard/ffaf8155-1d6f-4ec7-96db-2e8e8bc5c160#theme=night
二、最新動向
8月4日
15:58
SolanaウォレットSlopeはTwitterで、SlopeがOtterSecによって発見された脆弱性に基づき、サーバー側のログ記録を削除したと述べ、現在影響を受けている9223のウォレットの約15%(1444)の資産が盗まれたことを示しました。また、ユーザーに新しいリカバリーフレーズに変更するよう警告しました。(出典リンク)
15:05
Solanaの監査会社OtterSecはTwitterで、SlopeのモバイルアプリがTLSを介してリカバリーフレーズをその集中型Sentryサーバーに送信していることを独立して確認したと述べました。その後、これらのリカバリーフレーズは平文で保存されており、Sentryにアクセスできる人は誰でもユーザーの秘密鍵にアクセスできることを意味します。Sentryのログには約1400の脆弱性利用アドレスが存在します。注目すべきは、これがすべてのハッキングアドレスを示すものではないということです。我々はこの差異と他の可能な媒体を調査中です。(出典リンク)
10:14
SlowMistは本日、Solana攻撃事件に関する分析を発表し、初期調査で30%のユーザーの盗難原因がSlope Wallet(Android、バージョン:2.2.2)のSentryサービスにおける秘密鍵の漏洩であることを指摘しました。60%の盗まれたユーザーはPhantomウォレットを使用しており、その盗難原因は未だに不明です。SlowMistは、何かアイデアがあれば一緒に議論したいと述べ、Solanaエコシステムのために少しでも貢献できることを願っています。以下は具体的な疑問点です:
Sentryのサービスがユーザーのウォレットリカバリーフレーズを収集する行為は一般的なセキュリティ問題に該当しますか?
PhantomがSentryを使用している場合、Phantomウォレットは影響を受けますか?
残りの60%の盗まれたユーザーのハッキング原因は何ですか?
Sentryは非常に広く使用されているサービスですが、Sentryの公式が侵害された可能性はありますか?それによって仮想通貨エコシステムへの攻撃が引き起こされたのでしょうか?(出典リンク)
4:05
Solana StatusはTwitterで、開発者、エコシステムチーム、セキュリティ監査員の調査の結果、影響を受けたアドレスは以前にSlopeウォレットアプリで作成、インポートされたウォレットアドレスである可能性があると述べました。Solana Statusは、現在具体的な詳細は調査中であり、秘密鍵情報が意図せずアプリのモニタリングプログラムに送信された可能性があるとしています。Slopeは本事件でいくつかのSlopeウォレットが攻撃を受けたことを確認しましたが、具体的な原因は特定されていません。(出典リンク)
3:52
SolanaエコシステムのウォレットPhantomはTwitterで、「今回のSolana攻撃事件の脆弱性は、Slopeとの相互作用におけるアカウントのインポートとエクスポートの複雑さが原因であると考えられる」と述べ、PhantomユーザーにSlope以外の新しいウォレットをインストールし、新しいリカバリーフレーズを作成することを推奨しました。(出典リンク)
8月3日
16:24
Solana Labsの共同創設者@aeyakovenkoはTwitterで、今回の攻撃事件はiOSのサプライチェーンが攻撃を受けたようであり、SOLのみを受け取った信頼できるウォレットが影響を受けたと述べ、これらのウォレットは外部生成の秘密鍵をiOSにインポートしていたとしています。また、確認された情報はすべてiOSデバイスに関連しているが、「それが人気の理由かもしれない」とも述べました。(出典リンク)
14:51
Solana Statusは攻撃を受けたユーザーの情報を収集して根本原因を確認中であり、もしあなたのウォレットが盗まれた場合は、以下のリンクから情報を記入してください:https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co。
12:19
ソフトウェアおよびブロックチェーン会社LaineはTwitterで、現在RPCノードがサービスを復旧しており、バリデーターは正常に稼働していると述べ、以前のRPCノードのサービス停止は攻撃者の速度を遅らせるためであったとしています。
Laineは以前、次のようにツイートしました:「Solanaの複数のRPCノードがサービスリクエストを停止しているようで、過負荷または故意によるものかもしれません。これは基盤となるチェーンには影響を与えず、Solanaブロックチェーンは正常に稼働しています。ユーザーのウォレットやブラウザは現在読み込まれていないかもしれませんが、ブロックチェーンは正常に稼働しています。」(出典リンク)
11:57
ソフトウェアおよびブロックチェーン会社LaineはTwitterで、Solanaの複数のRPCノードがサービスリクエストを停止しているようで、過負荷または故意によるものかもしれないと述べました。これは基盤となるチェーンには影響を与えず、Solanaブロックチェーンは正常に稼働しています。ユーザーのウォレットやブラウザは現在読み込まれていないかもしれませんが、ブロックチェーンは正常に稼働しています。(出典リンク)
その間、多くのユーザーがSolanaブロックエクスプローラーSolscan、SolanaFMなどが正常に使用できないと報告しています。
10:39
Solana Statusはソーシャルメディアで、脆弱性により悪意のある行為者が複数のSolanaウォレットから資金を盗むことができると発表しました。世界標準時間の午前5時(北京時間の午後1時)時点で、約7767のウォレットが影響を受けています。この脆弱性利用は、SlopeやPhantomを含む複数のウォレットに影響を与え、モバイルウォレットとプラグインウォレットの両方が影響を受けているようです。
脆弱性利用の根本原因はまだ不明ですが、エンジニアは複数のセキュリティ研究およびエコシステムチームと協力しています。ハードウェアウォレットが影響を受けたという証拠は現在ありません。ユーザーにはハードウェアウォレットの使用を強く推奨し、ハードウェアウォレットでリカバリーフレーズを再利用しないようにし、新しいリカバリーフレーズを作成し、盗まれたウォレットは破損したものとして扱い、廃棄することを推奨します。(出典リンク)
10:32
AvalancheのGün教授Emin Gün Sirerは個人のソーシャルメディアプラットフォームで、現在Solanaエコシステムに対する継続的な攻撃の中で7000以上のウォレットが影響を受けており、20個/分の速度で増加していると述べました。彼は、今はまだ初期段階であり、攻撃は続いているため、多くの誤情報や推測があると述べました。
取引の署名が正しいため、攻撃者は秘密鍵へのアクセスを取得している可能性が高いです。1つの可能性は「サプライチェーン攻撃」であり、JSライブラリがハッカーに侵入され、ユーザーの秘密鍵が漏洩(盗まれる)した可能性があります。影響を受けたウォレットは過去9ヶ月以内に作成されたようですが、新しく作成されたウォレットも影響を受けているとの報告もあります。しかし、現在Solanaネットワークを停止しても効果はなく、ネットワークが復旧すれば攻撃も再開されるでしょう。(出典リンク)
9:00頃
開発者@0xfoobarはTwitterで、6ヶ月以上活動していないウォレットが最も大きな打撃を受けており、PhantomとSlopeウォレットで資金の盗取が発生していると述べました。脆弱性利用の原因は不明で、上流の依存関係によるサプライチェーン攻撃の可能性があり、承認を取り消しても無駄かもしれません。解決策は、秘密鍵を潜在的に脆弱なブラウザ拡張に公開したことのないウォレット、すなわちハードウェアウォレットに資産を移動することです。(出典リンク)
8:50
Solanaの監査会社OtterSecはTwitterで、過去数時間で5000以上のSolanaウォレットの資金が盗まれたと述べ、OtterSecの分析によれば、これらの取引は実際の所有者によって署名されており、秘密鍵の漏洩が示唆されています。この脆弱性利用はETHユーザーにも影響を与える可能性があります。(出典リンク)
8:32
Phantomは公式Twitterで応答し、「私たちは他のチームと密接に協力して、Solanaエコシステムで報告された脆弱性を特定しています。現在、チームはこれがPhantom特有の問題であるとは考えていません。より多くの情報を収集次第、更新を発表します。」と述べました。(出典リンク)
8:00頃
Decafの開発者@JuanRdBOなどの開発者はコードを確認した後、今回のセキュリティ事故はSolanaエコシステムで最大のウォレットであるPhantomに関連している可能性があると述べ、これは「信頼されたアプリ」に関する問題ではないとしています。ユーザーがDeJBGdMFa1uynnnKiwrVioatTuHmNLpyFKnmB5kaFdzQと相互作用したことがある場合(Phantomがウォレットを作成する際に相互作用する)、ウォレットは侵害されることになります。(出典リンク)
7:00頃
Magic Edenの公式Twitterは、広範なSOLの脆弱性が存在し、エコシステム全体のウォレット資産を枯渇させる可能性があると述べ、Magic Edenはユーザーに以下の設定を行い、個人資産を保護するよう警告しました:Phantomウォレットの設定ページにアクセス;信頼されたアプリ(Trusted Apps)をクリック;疑わしいリンクの権限を取り消す。(出典リンク)