撰文:凱爾
「似乎有一個廣泛存在的漏洞可以耗盡整個 Solana 生態系統的錢包資產。」8 月 3 日早間,Solana 生態的 NFT 市場 Magic Eden 的這條推文在區塊鏈行業傳播。
緊接著,一場大規模的用戶資產盜竊案在人們眼皮底下上演了。根據多家安全公司的追蹤,失竊的 Solana 錢包數量從 5000 個持續增長,截至下午 1 點,大約有 7767 個錢包資產失竊,各種加密資產及 NFT 被轉走。
可怕的是,盡管業內已經意識到漏洞存在,但截至發稿,漏洞的源頭尚未找到。而在此期間,黑客仍在持續掏空用戶的錢包。
根據慢霧安全團隊追蹤,約有 5.8 億美元加密資產流向了 4 個攻擊者地址。由于此次攻擊并非是針對單一協議的攻擊,更像是黑客破解了大量用戶的私鑰。慢霧推測,問題可能出在軟件供應鏈上。
「供應鏈攻擊」是一種新型的攻擊手法。攻擊者往往會在上游或中游介入,將其惡意活動及其后效應向下游傳播給更多用戶。因此,與孤立的安全漏洞相比,供應鏈攻擊一旦得手,損失規模更大、影響更深遠。有安全人士猜測,可能是用戶使用的某款錢包出現了漏洞,導致私鑰暴露。
Solana期權協議Cega將在以太坊主網啟動:金色財經報道,Solana期權協議Cega將在以太坊主網啟動。該協議將提供杠桿期權金庫(LOV)策略,預計將在第二季度推出,該策略將在Solana區塊鏈上已經可用的產品之上提供。LOV是一種期權結構性產品,Cega Finance聯合創始人Arisa Toyosaki表示,它將解決DeFi中的資本效率低下問題,因為它“不需要通過贖回用戶資助的保證金或超額抵押來獲得額外的流動性”。[2023/4/1 13:38:40]
目前,Solana 官方團隊 Solana Status 已經發布了一份表格,向失竊用戶收集相關信息,以分析漏洞所在。安全人士建議,為避免類似事件造成資產損失,用戶最好使用硬件錢包,并創建一個新的助記詞,已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。
8 月 3 日,一場大規模的黑客襲擊席卷 Solana 公鏈。根據早間 Solana 生態 NFT 市場 Magic Eden 發布的警告,似乎有一個廣泛存在的漏洞可以耗盡整個 Solana 生態系統的錢包資產。
MagicEden:疑似存在SOL漏洞可竊取Phantom錢包資產,提醒用戶撤銷可疑鏈接權限:8月3日消息,Solana生態NFT市場MagicEden發推稱,疑似存在一個SOL漏洞可以竊取Phantom錢包內資產。提醒用戶進行以下設置保護資產:1.進入Phantom設置;2.受信任的應用程序;3.撤銷任何可疑鏈接的權限。[2022/8/3 2:55:00]
緊接著,區塊鏈審計安全團隊 OtterSec 披露,在過去幾個小時內,已有超過 5000 個 Solana 錢包資金被盜取,OtterSec 分析顯示,這些交易是由實際所有者簽署,這表明存在私鑰泄露。該漏洞還可能影響 ETH 用戶。
Solana 鏈上錢包大規模失竊事件迅速在用戶群中引發恐慌。而這次攻擊帶來的損失還未停止,就在事件發酵過程中,仍不斷有用戶中招。
當日上午 10 點 30 分許,Alavanche 公鏈創始人 Emin Gün Sirer 監測到,針對 Solana 生態系統的攻擊在持續進行,被盜錢包數量已增加至 7000 多個,「并且正在以每分鐘 20 個的速度增長。」
數據:Solana上DeFi協議總鎖倉量為67億美元:金色財經報道,DeFiLlama數據顯示,Solana上DeFi協議總鎖倉量為67億美元.其中,鎖倉量排名前三的協議分別是MarinadeFinance(7.26億美元)、Serum(6.92億美元)、Raydium(6.54億美元)。[2022/4/16 14:28:17]
Emin Gün Sirer 監測到被盜錢包數量持續增加
Emin Gün Sirer 也注意到了交易簽名的細節,他認為攻擊者很可能已經獲得了對私鑰的訪問權限。
如果發生大范圍的私鑰泄露,意味著用戶錢包中的資金可能隨時被黑客提走。在恐慌情緒下,許多用戶紛紛登錄錢包轉移資金,避免資產損失。
這一大范圍的黑客攻擊引發了許多 Solana 生態項目方的警覺。
金融博客零對沖:以太坊急速下跌是由NFT熱潮轉移向Solana引發的:金融博客零對沖(Zero Hedge)表示,一些人認為,以太坊的急速下跌是由NFT熱潮轉移向加密貨幣Solana引發的。周一,加密衍生品平臺FTX首席執行官Sam Bankman-Fried宣布將Solana整合到FTX即將推出的NFT市場,這個新的市場將使非功能性藝術創作者和所有者能夠使用Solana和以太坊跨鏈交易他們的數字藝術。有趣的是,加密貨幣的這種快速下跌符合摩根大通分析師Nick Panigirtzoglou上周的評論,他認為一些泡沫預計將在短期內離開市場。(金十)[2021/9/8 23:07:47]
Move to Earn 應用 STEPN 發文提醒用戶,若此前將非托管錢包從外部導入或導出 STEPN,需要檢查那些錢包是否有任何資產丟失,用戶應及時從該錢包轉移資產,或從 STEPN 應用程序中生成一個新的非托管錢包。
Magic Eden 也再次發文提醒稱,用戶最好用新的助記詞創建一個新錢包,并把所有 NFT 和有流動性的加密資產轉移至新錢包,更穩妥的是把所有資產都放進冷錢包。
交易所聚合器OpenOcean啟用Solana網絡上的交易:金色財經報道,加密貨幣交易所聚合器OpenOcean已連接到Solana區塊鏈生態系統。OpenOcean已經在以太坊、Binance Smart Chain、Tron和Ontology上可用,由于用戶請求的數量而增加了Solana。[2021/5/29 22:54:06]
由于此次失竊事件的特征指向私鑰泄露,Solana 生態的錢包應用商頗受關注。根據許多失竊用戶的反饋,他們多使用 Slope 和 Phantom 錢包生成賬戶。一些人初步懷疑,可能是錢包服務商存在漏洞,致使用戶私鑰暴露。
而 Phantom 錢包不認為這是它特有的問題,該錢包的官方公告表示,暫時無法查明 Solana 生態系統中的漏洞,「我們正在與其他團隊密切合作,一旦收集到更多信息,我們將發布更新。」
截至 8 月 3 日下午 1 點,此次盜竊案的源頭仍未找到,仍不斷有用戶爆出資產失竊。根據 Solana 官方開發團隊 Solana Status 發布的攻擊事件更新,大約有 7767 個錢包受到影響,「工程師目前正在與多個安全研究人員和生態系統團隊合作,以確定漏洞利用的根本原因」。
此次大范圍攻擊事件在區塊鏈發展史上當屬首次。過去,大部分黑客攻擊多集中在單一的交易所、應用協議或跨鏈橋上,比如利用某個鏈上協議的漏洞,將協議內的用戶資金「一鍋端」。而此次,黑客則更像是通過未知途徑破解了大量的用戶私鑰,并逐一轉走了用戶資產。
根據慢霧安全團隊對此事件的跟蹤,約有 5.8 億美元加密資產流向了 4 個攻擊者地址。「不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測問題可能出現在軟件供應鏈上。」
Emin Gün Sirer 也認為,一種可能的途徑是供應鏈攻擊,其中 JS 庫被黑客入侵,竊取了用戶的私鑰。
「JS 庫」一般指被封裝好的 JavaScript 函數,其特點是可以直接在程序中進行調用。從一些失竊用戶的反饋來看,被盜的錢包似乎是在過去 9 個月內創建的,但也有報告說新創建的錢包也受到影響,因此暫時無法確定是哪個供應鏈軟件出現了漏洞。
對于一些用戶提出可以用交易回滾的方式找回用戶資產,也有安全人士表示這種方式并不適用于本次事件,「因為無法分辨哪些交易是用戶自己簽名的。」
值得注意的是,盡管此次攻擊波及的用戶量龐大,且 Solana 網絡也出現了卡頓和部分應用中斷服務的情況,但底層鏈的運行并未受到影響。Solana 驗證節點 Laine 發文稱,Solana 多個 RPC 節點似乎已停止服務請求,可能因過載或故意造成,但 Solana 區塊鏈屬于正常運行狀態。
上述信息都將本次安全事件的源頭指向了「供應鏈攻擊」。這是一種新型的攻擊手法,尤其在注重智能合約相互耦合的 Web3 的領域,攻擊者往往會在上游或中游介入,將其惡意活動及其后效應向下游傳播給更多用戶。因此,與孤立的安全漏洞相比,成功的供應鏈攻擊帶來的損失規模更大,影響更深遠。
8 月 3 日下午,Solana Status 已經發布了一份表格,用于向失竊用戶收集相關信息,以分析漏洞所在。
Solana?Status 收集用戶信息分析被盜原因
根據最新消息,Solana Labs 聯合創始人 aeyakovenko 透露,此次攻擊事件似乎是 iOS 供應鏈受到了攻擊,其中多個只收到 SOL 且沒有其他交互的可信錢包受到了影響,它們曾將外部生成的私鑰導入 iOS。但他的這種猜測還無法得到證實,「只是所有已確認的信息都是 iOS 設備,但也可能是因為它的受歡迎程度。」
關于 Solana 大規模失竊案的更多細節及原因還有待安全團隊更進一步的分析和披露。值得警惕的是,「供應鏈攻擊」手法似乎已經開始滲透區塊鏈領域,用戶在使用鏈上應用程序時,可能因加密錢包、輸入法等基礎的 Web2 程序存在漏洞,導致私鑰泄露。安全人士建議,為避免類似事件造成資產損失,用戶最好使用硬件錢包,并創建一個新的助記詞,已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。
Tags:SOLSOLALANAOLAsol幣價格最新行情SOLARIXsolana幣下半年會漲到多少價格Frz Solar System
雖然是在幣圈,但隨著全球資產的普遍血崩,近期標普500這個詞語出現的頻率非常高。那么它究竟是什么意思,與加密貨幣價格是否有關系?標普500指數全稱是標準普爾500指數,由標準·普爾公司1957年.
1900/1/1 0:00:00作者:toddz 在過去兩周的時間中,我花了很多時間了解最新的鏈級創新,而在我看來,“分解(disaggregation)”是指導這些創新的第一原則.
1900/1/1 0:00:00最近有一個詞頻頻被點名,在網絡上出現頻率也很高,看到這個詞會讓人覺得很厲害,但經常不確切知道是什么意思,這個詞是“區塊鏈”.
1900/1/1 0:00:00什么是智能合約?它又有哪些特點?美上市公司ARAX將以1800萬歐元收購DeFi開發商Core Business75%股份:12月15日消息.
1900/1/1 0:00:00在當下,你可以找到很多屬于某種生態系統的公共區塊鏈,該領域的競爭十分激烈。但是Aptos的開發人員采取了不同的道路,并決定創建一個獨特的Layer1區塊鏈.
1900/1/1 0:00:00元宇宙三十人論壇是香港區塊鏈協會主辦的主題活動,活動探討了硅谷頂級VC如何部署Web3.0元宇宙的賽道.
1900/1/1 0:00:00