為避免類似事件造成資產損失,用戶最好使用硬件錢包。
撰文:凱爾
「似乎有一個廣泛存在的漏洞可以耗盡整個Solana生態系統的錢包資產。」8月3日早間,Solana生態的NFT市場MagicEden的這條推文在區塊鏈行業傳播。
緊接著,一場大規模的用戶資產盜竊案在人們眼皮底下上演了。根據多家安全公司的追蹤,失竊的Solana錢包數量從5000個持續增長,截至下午1點,大約有7767個錢包資產失竊,各種加密資產及NFT被轉走。
可怕的是,盡管業內已經意識到漏洞存在,但截至發稿,漏洞的源頭尚未找到。而在此期間,黑客仍在持續掏空用戶的錢包。
根據慢霧安全團隊追蹤,約有5.8億美元加密資產流向了4個攻擊者地址。由于此次攻擊并非是針對單一協議的攻擊,更像是黑客破解了大量用戶的私鑰。慢霧推測,問題可能出在軟件供應鏈上。
「供應鏈攻擊」是一種新型的攻擊手法。攻擊者往往會在上游或中游介入,將其惡意活動及其后效應向下游傳播給更多用戶。因此,與孤立的安全漏洞相比,供應鏈攻擊一旦得手,損失規模更大、影響更深遠。有安全人士猜測,可能是用戶使用的某款錢包出現了漏洞,導致私鑰暴露。
Solana發布改進網絡升級計劃,將組建對抗團隊并改進重啟過程:金色財經報道,Solana 聯合創始人 Anatoly Yakovenko 發布“改進網絡升級的計劃”,將改進 Solana 升級過程、組建對抗團隊、改進重啟過程、以穩定為中心。
Solana 核心工程師計劃幫助改進流程如下:
在主網測試版升級之前,將測試網降級到當前的主網測試版和功能集;
將測試網升級為新版本的發布候選;
觀察測試網遷移是如何實時進行的;
將測試網降級回當前的主網測試版;
在對測試網進行壓力測試時重復此過程;
發布新版本給 mainnet-beta 驗證器進行升級。[2023/3/1 12:36:00]
目前,Solana官方團隊SolanaStatus已經發布了一份表格,向失竊用戶收集相關信息,以分析漏洞所在。安全人士建議,為避免類似事件造成資產損失,用戶最好使用硬件錢包,并創建一個新的助記詞,已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。
美司法部正對此前被曝偽造11個假身份Solana生態開發者進行調查:1月12日消息,據消息人士透露,美國司法部正在調查Solana生態跨鏈穩定幣交易協議Saber開發者Dylan Macalinao和Ian Macalinao兩兄弟。消息人士透露調查人員正在尋求有關圍繞Saber運行的加密項目網絡的信息,包括Solana生態DeFi流動性應用Sunny Aggregator以及穩定幣項目Cashio。
金色財經此前報道,Saber 首席架構師 Ian Macalinao 去年 8 月被曝擁有 11 個假身份,其中包括 Solana 生態 DeFi 收益聚合器協議 Sunny 的開發者 Surya Khosla、Solana 算法 Stablecoin 項目 Cashio 創始人 0xGhostchain、多簽錢包 Goki 創始人 Goki Rajesh 等。得益于 Ian Macalinao 編寫的 TVL 算法,數十億美元資金在 Solana 的 DeFi 生態(至少包括 Sunny 和 Saber)內被重復計算多次。而 Ian Macalinao 此前曾表示認為 TVL 的爆發式增長引發了 SOL 價格的暴漲。[2023/1/12 11:07:37]
未知漏洞致Solana近8000個錢包失竊
SOL突破15 USDT,24H漲幅為11.25%:1月9日消息,行情顯示,SOL突破15 USDT,最高至16 USDT;現報15.435 USDT,24H漲幅為11.25%。[2023/1/9 11:02:13]
8月3日,一場大規模的黑客襲擊席卷Solana公鏈。根據早間Solana生態NFT市場MagicEden發布的警告,似乎有一個廣泛存在的漏洞可以耗盡整個Solana生態系統的錢包資產。
緊接著,區塊鏈審計安全團隊OtterSec披露,在過去幾個小時內,已有超過5000個Solana錢包資金被盜取,OtterSec分析顯示,這些交易是由實際所有者簽署,這表明存在私鑰泄露。該漏洞還可能影響ETH用戶。
Solana鏈上錢包大規模失竊事件迅速在用戶群中引發恐慌。而這次攻擊帶來的損失還未停止,就在事件發酵過程中,仍不斷有用戶中招。
當日上午10點30分許,Alavanche公鏈創始人EminGünSirer監測到,針對Solana生態系統的攻擊在持續進行,被盜錢包數量已增加至7000多個,「并且正在以每分鐘20個的速度增長。」
Solana生態借貸聚合器Everlend完成260萬美元融資,GSR等參投:8月19日,據官方消息,基于Solana的借貸聚合器Everlend宣布完成260萬美元戰略輪融資,GSR、Serum Foundation、Everstake Capital、Portico VC和幾位天使投資人參投。
此輪融資資金將主要用于促進產品的開發進程和整體增長。此外,一部分資金將專門用于安全基金(Safety Fund),這是一個保險池,在基礎貨幣市場出現違約或黑客攻擊事件時將為Everlend用戶提供保障。
據悉,Everlend于5月初在主網上線,目前支持10種資產和3個貨幣市場。Everlend計劃在未來逐步轉變為社區主導的DAO。[2022/8/19 12:36:20]
FTX創始人SBF:Solana是目前最被低估的代幣:8月4日消息,在接受《財富》雜志采訪時,被問及,“目前最被低估的代幣是什么?”,FTX創始人SBF回答稱,“Solana”。針對最近Solana錢包被盜事件,SBF發布推特表示,一個隨機的 dAPP 被破壞,它被大眾歸咎于底層區塊鏈,需要明確的是,核心或內部基礎設施沒有任何問題,問題來自于一些人使用的第三方應用程序。[2022/8/4 2:57:59]
EminGünSirer監測到被盜錢包數量持續增加
EminGünSirer也注意到了交易簽名的細節,他認為攻擊者很可能已經獲得了對私鑰的訪問權限。
如果發生大范圍的私鑰泄露,意味著用戶錢包中的資金可能隨時被黑客提走。在恐慌情緒下,許多用戶紛紛登錄錢包轉移資金,避免資產損失。
這一大范圍的黑客攻擊引發了許多Solana生態項目方的警覺。
MovetoEarn應用STEPN發文提醒用戶,若此前將非托管錢包從外部導入或導出STEPN,需要檢查那些錢包是否有任何資產丟失,用戶應及時從該錢包轉移資產,或從STEPN應用程序中生成一個新的非托管錢包。
MagicEden也再次發文提醒稱,用戶最好用新的助記詞創建一個新錢包,并把所有NFT和有流動性的加密資產轉移至新錢包,更穩妥的是把所有資產都放進冷錢包。
由于此次失竊事件的特征指向私鑰泄露,Solana生態的錢包應用商頗受關注。根據許多失竊用戶的反饋,他們多使用Slope和Phantom錢包生成賬戶。一些人初步懷疑,可能是錢包服務商存在漏洞,致使用戶私鑰暴露。
而Phantom錢包不認為這是它特有的問題,該錢包的官方公告表示,暫時無法查明Solana生態系統中的漏洞,「我們正在與其他團隊密切合作,一旦收集到更多信息,我們將發布更新。」
截至8月3日下午1點,此次盜竊案的源頭仍未找到,仍不斷有用戶爆出資產失竊。根據Solana官方開發團隊SolanaStatus發布的攻擊事件更新,大約有7767個錢包受到影響,「工程師目前正在與多個安全研究人員和生態系統團隊合作,以確定漏洞利用的根本原因」。
業內分析本次攻擊疑為「供應鏈攻擊」
此次大范圍攻擊事件在區塊鏈發展史上當屬首次。過去,大部分黑客攻擊多集中在單一的交易所、應用協議或跨鏈橋上,比如利用某個鏈上協議的漏洞,將協議內的用戶資金「一鍋端」。而此次,黑客則更像是通過未知途徑破解了大量的用戶私鑰,并逐一轉走了用戶資產。
根據慢霧安全團隊對此事件的跟蹤,約有5.8億美元加密資產流向了4個攻擊者地址。「不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測問題可能出現在軟件供應鏈上。」
EminGünSirer也認為,一種可能的途徑是供應鏈攻擊,其中JS庫被黑客入侵,竊取了用戶的私鑰。
「JS庫」一般指被封裝好的JavaScript函數,其特點是可以直接在程序中進行調用。從一些失竊用戶的反饋來看,被盜的錢包似乎是在過去9個月內創建的,但也有報告說新創建的錢包也受到影響,因此暫時無法確定是哪個供應鏈軟件出現了漏洞。
對于一些用戶提出可以用交易回滾的方式找回用戶資產,也有安全人士表示這種方式并不適用于本次事件,「因為無法分辨哪些交易是用戶自己簽名的。」
值得注意的是,盡管此次攻擊波及的用戶量龐大,且Solana網絡也出現了卡頓和部分應用中斷服務的情況,但底層鏈的運行并未受到影響。Solana驗證節點Laine發文稱,Solana多個RPC節點似乎已停止服務請求,可能因過載或故意造成,但Solana區塊鏈屬于正常運行狀態。
上述信息都將本次安全事件的源頭指向了「供應鏈攻擊」。這是一種新型的攻擊手法,尤其在注重智能合約相互耦合的Web3的領域,攻擊者往往會在上游或中游介入,將其惡意活動及其后效應向下游傳播給更多用戶。因此,與孤立的安全漏洞相比,成功的供應鏈攻擊帶來的損失規模更大,影響更深遠。
8月3日下午,SolanaStatus已經發布了一份表格,用于向失竊用戶收集相關信息,以分析漏洞所在。
Solana?Status收集用戶信息分析被盜原因
根據最新消息,SolanaLabs聯合創始人aeyakovenko透露,此次攻擊事件似乎是iOS供應鏈受到了攻擊,其中多個只收到SOL且沒有其他交互的可信錢包受到了影響,它們曾將外部生成的私鑰導入iOS。但他的這種猜測還無法得到證實,「只是所有已確認的信息都是iOS設備,但也可能是因為它的受歡迎程度。」
關于Solana大規模失竊案的更多細節及原因還有待安全團隊更進一步的分析和披露。值得警惕的是,「供應鏈攻擊」手法似乎已經開始滲透區塊鏈領域,用戶在使用鏈上應用程序時,可能因加密錢包、輸入法等基礎的Web2程序存在漏洞,導致私鑰泄露。安全人士建議,為避免類似事件造成資產損失,用戶最好使用硬件錢包,并創建一個新的助記詞,已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。
游戲工作室Vinci Games完成510萬美元種子輪融資:金色財經報道,VR籃球游戲Blacktop Hoops的工作室Vinci Games完成了510萬美元種子輪融資.
1900/1/1 0:00:00作者:DataFinnovation看起來DCG和3AC參與了某種計劃,從GBTC的溢價中提取價值.
1900/1/1 0:00:00作者:黃婉儀 近期,不少以數字藏品為主業的平臺企業開始加快步伐,進軍更廣義的元宇宙領域,iBox、芒境等相繼宣布推出元宇宙平臺.
1900/1/1 0:00:00Optimism的經濟模型中設立了公共產品追溯資助。項目方可提案申請OptimismCollective資助.
1900/1/1 0:00:008月4日,中國人民銀行上海總部召開2022年下半年工作會議,傳達學習2022年下半年中國人民銀行、國家外匯管理局工作會議精神,總結上半年上海總部主要工作,安排下半年重點工作.
1900/1/1 0:00:00在《web3:一場概念游戲》與《web3:賽博資本主義的誕生》中,我們討論了將“可擁有”當作web3新技術愿景的核心,實際上是一種違背常識的荒謬文字游戲.
1900/1/1 0:00:00