Блокчейн аудитын пүүсүүд хакерууд Solana-д суурилсан түрийвчийг урсгахад ашигладаг 8,000 орчим хувийн түлхүүрт хэрхэн нэвтэрсэн болохыг олж тогтоохыг хичээсээр байна.
Халдлага үйлдэгчид амжсаны дараа мөрдөн байцаалтын ажиллагаа үргэлжилж байна 5 сая орчим долларын үнэтэй Solana (SOL) болон Solana Program Library (SPL) жетонуудыг хулгайлсан. Лхагва гаригт. Экосистемийн оролцогчид болон аюулгүй байдлын компаниуд үйл явдлын нарийн ширийнийг илрүүлэхэд тусалж байна.
Солана нь мөлжлөгт өртсөн хэрэглэгчийн данстай, Solana-д суурилсан түрийвчний үйлчилгээ үзүүлэгч хоёр Phantom болон Slope.Finance-тай нягт хамтран ажилласан. Үүнээс хойш нууцлагдсан түлхүүрүүдийн зарим нь алдагдаж байсан нь тогтоогдсон Налуутай шууд холбоотой.
Blockchain аудит, аюулгүй байдлын фирмүүд Otter Security болон SlowMist нь үргэлжилсэн мөрдөн байцаалтад тусалж, Cointelegraph-тай шууд захидал харилцааныхаа үр дүнг задалсан.
Оттер аюулгүй байдлын үүсгэн байгуулагч Роберт Чен Солана, Слоп нартай хамтран нөлөөлөлд өртсөн эх сурвалжид шууд нэвтрэх талаарх ойлголтыг хуваалцсан. Чен нөлөөлөлд өртсөн түрийвчнүүдийн хэсэг нь Slope-ийн Sentry бүртгэлийн сервер дээр энгийн текст хэлбэрээр байдаг хувийн түлхүүртэй болохыг баталжээ.
"Ажиллах онол бол халдагчид эдгээр бүртгэлийг ямар нэгэн байдлаар задруулсан бөгөөд үүнийг ашиглан хэрэглэгчдэд халдсан гэсэн үг юм. Энэ нь одоог хүртэл мөрдөн байцаалтын ажиллагаа үргэлжилж байгаа бөгөөд одоогийн нотлох баримтууд нууцлагдсан бүх дансыг тайлбарлаж чадахгүй байна."
Чен мөн Cointelegraph-т хэлэхдээ, мөлжлөгийн нэг хэсэг биш 5,300 орчим хувийн түлхүүрийг Sentry instance-ээс олсон байна. Эдгээр хаягуудын бараг тал хувь нь токенуудтай хэвээр байгаа бөгөөд хэрэв хэрэглэгчид үүнийг хийгээгүй бол мөнгөө шилжүүлэхийг уриалж байна.
SlowMist-ийн баг Slope-ийн ашиглалтыг шинжлэхээр урьсаны дараа ижил төстэй дүгнэлтэд хүрсэн. Мөн Slope Wallet-ийн Sentry үйлчилгээ нь хэрэглэгчийн mnemonic хэллэг болон хувийн түлхүүрийг цуглуулж, o7e.slope.finance хаяг руу илгээсэн болохыг тус багийнхан онцолжээ. Дахин нэг удаа SlowMist итгэмжлэлийг хэрхэн хулгайлсан талаар ямар ч нотлох баримт олж чадсангүй.
Cointelegraph мөн Chainalysis-тэй холбогдож, анхны мэдээллийг хуваалцсаны дараа уг үйл явдалд блокчэйн шинжилгээ хийж байгаагаа баталжээ. олдворууд онлайн. Блокчейн шинжилгээний фирм мөн энэ мөлжлөгт Slope.Finance-аас данс импортолсон хэрэглэгчдэд голчлон нөлөөлсөн гэж тэмдэглэжээ.
Энэ үйл явдал Соланаг мөлжлөгийн хүнд дарамтаас чөлөөлж байгаа ч нөхцөл байдал нь хэтэвч нийлүүлэгчдийн аудитын үйлчилгээ шаардлагатай байгааг харуулж байна. SlowMist нь түрийвчээ гаргахаасаа өмнө олон хамгаалалтын компаниудад аудит хийлгэхийг зөвлөсөн бөгөөд аюулгүй байдлыг нэмэгдүүлэхийн тулд нээлттэй эх сурвалжийг хөгжүүлэхийг уриалав.
Чен хэлэхдээ, зарим түрийвч нийлүүлэгчид төвлөрсөн бус програмуудтай харьцуулахад аюулгүй байдлын талаар ярихдаа "радарын дор ниссэн". Тэрээр энэхүү үйл явдал хэрэглэгчийн сэтгэл санааг хэтэвч хоорондын хамаарал болон аюулгүй байдлын гадны түншүүдийн баталгаажуулалт руу шилжүүлэхийг харах болно гэж найдаж байна.
Эх сурвалж: https://cointelegraph.com/news/experts-find-private-keys-on-slope-servers-still-puzzled-over-access