Po intensyvaus 24 valandų laikotarpio saugumo tyrinėtojai ir „Solana Labs“ inžinieriai neseniai įsilaužimą į konkrečias „Solana“ pinigines susiejo su kritine vieno piniginės paslaugų teikėjo klaida. „Slope Finance“ kūrėjai per klaidą atsiuntė kodą, leidžiantį naudotojo sugeneruotas pradines frazes perduoti piktavališkam veikėjui paprastu tekstu.
Įsilaužimas turėjo tiksliniai privatūs raktai, susieti su Solana ekosistema, o pažeistos piniginės automatiškai pasirašo operacijas be vartotojo leidimo. Piratai perdavė vartotojų SOL ir USDC turtą.
Nors kai kurie kitų piniginių, pvz., „Phantom“, „Trust Wallet“ ir „Solflare“, naudotojai taip pat buvo paveikti, išvados rodo, kad ši vartotojų kategorija tam tikru momentu sukūrė arba perdavė pradinę frazę per „Slope Finance“.
Solanos komanda paaiškino, kad ataka neturėjo įtakos pagrindiniam tinklui, nes per visą incidentą jis veikė visiškai. Apytiksliai 7950 6 piniginių buvo ištuštinta, o įsilaužėlis (-iai) uždirbo apie XNUMX mln. USD neteisėto pelno.
Web3 saugumo pavojai išlieka
Naujausių Solana piniginės naujienų įsilaužimas ateina mažiau nei 24 valandos po to, kai įsilaužėliai nusausino kryžminės grandinės protokolą Nomad Bridge už beveik 200 mln. Pramonės stebėtojai sutinka, kad šios saugumo rizikos paplitimas kenkia visuomenės susidomėjimui Web3 eksperimentu ir gali sumažinti investuotojų apetitą. Tačiau šie incidentai suteikia pramonei galimybę spręsti tokias saugumo rizikas, kad jos būtų pradėtos taikyti.
Pavyzdžiui, „Solana Slope“ piniginės įsilaužimas buvo glaudžiai susijęs su uždarojo kodo projekto kodų bazės pobūdžiu. Tokių incidentų galima išvengti, jei Web3 projektai įsipareigoja kurti atvirojo kodo. Tuo tarpu vartotojai taip pat gali pridėti stiprų saugumo sluoksnį naudodami saugias aparatinės įrangos pinigines, kuriose privatūs raktai saugomi neprisijungę.
Šaltinis: https://coinfomania.com/slope-wallet-solana-bug-hack/#utm_source=rss&%23038;utm_medium=rss&%23038;utm_campaign=slope-wallet-solana-bug-hack