کیف پول های اسلوپ (Slope) پاشنه آشیل سولانا

کیف‌پول‌ اسلوپ (Slope) مسئول حمله به کیف پول های مبتنی بر سولانا هستند

اسلوپ (Slope)، ارائه دهنده کیف پول های Web3 به یکی از مقصرهای هک اخیر کیف پول های سولانا متهم شده اند.

با فرونشستن گرد و غبار ناشی از آشفتگی اکوسیستم سولانا در روز گذشته، داده‌هایی به دست می‌آید که ارائه‌دهنده کیف پول اسلوپ تا حد زیادی مسئول سوءاستفاده امنیتی است که ارزهای دیجیتال هزاران کاربر سولانا را به سرقت برده است.

اسلوپ  یک ارائه دهنده کیف پول Web3 برای بلاکچین لایه ۱ سولانا است. از طریق حساب توییتر سولانا در ۳ آگوست، بنیاد سولانا انگشت اتهام را به سمت اسلوپ گرفت و اظهار داشت که “به نظر می رسد آدرس های هک شده حداقل یکبار روی کیف پول های تلفن همراه اسلوپ استفاده شده اند.”

پس از بررسی توسعه‌دهندگان سولانا، تیم‌های اکوسیستم و ممیزان امنیتی، به نظر می‌رسد آدرس‌های آسیب‌دیده در حداقل یک بار روی کیف پول موبایلی اسلوپ استفاده شده‌اند.

سولانا – ۳ اوت ۲۰۲۲

آناتولی یاکوونکو، یکی از بنیانگذاران سولانا نیز در حساب کاربری شخصی خود در توییتر، کیف پول های اسلوپ را به هک مرتبط دانست. او به کاربران توصیه کرد در اسرع وقت کلید های خصوصی کیف پول های خود را از سرویسی غیر از اسلوپ بازسازی کنند. او همچنین به یک کاربر آسیب دیده گفت: “شروع به جداسازی کیف پول سرد و گرم کنید.”

هکر همه سوراخ های امنیتی را تست نکرده است. دسته ای از کاربران کیف پول فانتوم (Phantom) فقط دیدند که آدرس های کیف پول اسلوپ آنها خالی شده است. من به هر کسی که کیف پول اسلوپ را استفاده کرده است، توصیه می کنم که کلید خصوصی خود را در یک کیف پول متفاوت در اسرع وقت بازسازی کند.

۳ اوت ۲۰۲۲

خبر های اولیه از هک کیف پول های سولانا

سوء استفاده های از کیف پول مبتنی بر سولانا برای اولین بار در ۲ آگوست; پس از اینکه افراد زیادی گزارش دادند که سولانا  و توکن های دیگر آن ها از کیف پولشان به سرقت رفته است علنی شد. تخمین زده می شود که تقریباً ۸ میلیون دلار ارزدیجیتال; از نزدیک به ۸۰۰۰ کیف پول به سرقت رفته است.

بنیاد سولانا از طریق تحقیقات خود تشخیص داد که; کلیدهای خصوصی همه کیف پول‌هایی که مورد سوء استفاده قرار گرفته‌اند; “به طور سهوی به یک سرویس نظارت بر برنامه” مانند اسلوپ منتقل شده‌اند.

این سازمان افزود که هیچ مدرکی وجود ندارد که نشان دهد پروتکل سولانا یا بلاکچین آن در معرض خطر حمله قرار گرفته است.

برخی گزارش‌ها مبنی بر اینکه کیف پول اسلوپ ممکن است کلیدهای خصوصی کاربران سولانا را در سرورهای متمرکز خود ثبت کرده باشد، فراوان است. سرورها ممکن است در معرض خطر قرار گرفته باشند و کلیدهای خصوصی به بیرون درز کرده باشند که یک هکر می تواند از آنها برای سرقت دارایی ها استفاده کند.

گزارش‌های قبلی از این حمله حاکی از آن بود که; کاربران کیف‌پول‌های اسلوپ و فانتوم مورد هدف قرار گرفته‌اند. همین موضوع بسیاری را به این باور رساند که ممکن است مشکل گسترده‌تری در پروتکل سولانا وجود داشته باشد. اما تحلیل بیشتر که توسط آستین فدورا، رئیس ارتباطات سولانا به اشتراک گذاشته شد; نشان داد که مشکل فقط از جانب کیف پول های ذکر شده بوده است.

بیانیه اسلوپ (Slope)

فدورا گفت که در حالی که ۶۰ درصد از قربانیان این حمله هکری کاربران فانتوم بودند. افرادی که متضرر شدند کلید خصوصی خود را با استفاده از فانتوم تولید نکرده بودند.

ما یک Typeform برای جمع‌آوری داده‌ها ایجاد کردیم و نتایج واضح بود.  ۶۰٪ از کسانی که هک شدند، کاربران فانتوم و ۴۰٪ کاربران اسلوپ بودند. اما پس از مصاحبه‌ها و درخواست‌های گسترده از افراد، نتوانستیم یک کاربر پیدا کنیم که با استفاده از فانتوم کلیدهای خصوصی خود را ساخته باشد و مورد هک قرار گرفته باشد.

آستین فدرا –  ۳ اوت ۲۰۲۲

اسلوپ با صدور بیانیه‌ای به وضعیت تحقیقات در حال انجام خود درباره این حادثه در روز چهارشنبه اشاره کرد; و تأیید کرد که «یک گروه از کیف‌پول‌های اسلوپ در این حمله هکری به خطر افتاده اند. از جمله برخی از کیف پول های متعلق به کارکنان خود.

این تیم از کاربران کیف‌پول‌های اسلوپ خواست تا یک کلید خصوصی جدید منحصر به فرد تولید کنند. همه دارایی ها را به آن انتقال دهند. هیچگونه دارایی را روی کیف‌پول‌های قدیمی نگه دارند. تیم فانتوم با توصیه به کاربران برای انتقال دارایی های خود به کیف پول جدید غیر از اسلوپ پافشاری می کند.