Si fillimisht raportuar nga CryptoSlate orët e hershme të mëngjesit të së mërkurës, një shfrytëzim i rëndësishëm ka bërë që mijëra kuleta kriptosh të thahen nga fondet. Raporti fillestar u publikua pasi incidenti ishte në vazhdim; megjithatë, a artikull vijues zbuloi më shumë informacion në lidhje me lidhjen me Slope Finance.
Informacioni më në fund po del në dritë për origjinën e shfrytëzimit. Slope lëshoi një deklaratë të mërkurën në mbrëmje duke këshilluar të gjithë pronarët e portofolit që të lëvizin çdo fond në kuletat e importuara në Slope. Paralajmërimi u zgjerua në këshillën për të deklaruar se "nuk rekomandon përdorimin e të njëjtës frazë të farës në këtë portofol të ri që kishit në Slope".
Phantom, një tjetër portofol Solana që shumë përdorues po përdornin kur fondet u shterruan, bëri një deklaratë duke identifikuar "komplikimet që lidhen me importimin e llogarive në dhe nga Slope Finance".
1/ Phantom ka arsye të besojë se shfrytëzimet e raportuara janë për shkak të komplikimeve që lidhen me importimin e llogarive në dhe nga @slope_finance.
Ne jemi ende duke punuar në mënyrë aktive për të identifikuar nëse mund të ketë pasur dobësi të tjera që kanë kontribuar në këtë incident. https://t.co/W5B19gbMJX
- Fantazma (@fantom) Gusht 3, 2022
Llogaria në Twitter e Solana Status, e drejtuar nga Fondacioni Solana, lëshoi gjithashtu një deklaratë që konfirmon lidhjen me portofolin celular Slope.
Pas një hetimi nga zhvilluesit, ekipet e ekosistemit dhe auditorët e sigurisë, duket se adresat e prekura në një moment janë krijuar, importuar ose përdorur në aplikacionet e portofolit celular Slope. 1/2
- Statusi i Solana (@SolanaStatus) Gusht 3, 2022
Në temën në Twitter, Fondacioni Solana zbuloi se "informacioni i çelësit privat u transmetua pa dashje në një shërbim të monitorimit të aplikacionit".
Rreshti i argjendtë në një përrallë tragjike është kjo çështje nuk shfaqet të jetë një problem i gjenerimit të bllokut ose farës. Një e metë në provat kriptografike të blockchain Solana mund të ketë efekte shkatërruese në të gjithë ekosistemin e kriptove. Megjithatë, kjo nuk duket të jetë më në kartat, dhe Fondacioni Solana pohoi se "nuk ka asnjë provë që protokolli Solana ose kriptografia e tij është komprometuar".
Në një pamje ekrani të regjistrave nga Moon Rank NFT, Foobar theksoi përfshirjen e mundshme të çelësave privatë dhe frazave kujtimore brenda një thirrjeje Slope API. Ndërsa kërkesa POST duket se është dërguar përmes kriptimit SSL, fakti që përfshihet një frazë fillestare është shqetësuese. Një shkak i mundshëm do të ishte një sulm njeri në mes, ku një aktor keqdashës mund të dëgjojë komunikimet midis dy palëve për të vjedhur informacione të ndjeshme.
MITM regjistron nga @MoonRankNFT tregoni kujtesën që kalon te serverët Slope mbi kërkesat POST. Emri i portofolit është thjesht i rastësishëm pic.twitter.com/qL9C49ipvV
- foobar (@ 0xfoobar) Gusht 3, 2022
Disi shqetësuese, përdoruesit ende deklarojnë se "nuk e kanë përdorur kurrë Slope në jetën [e tyre]", por kuletat e tyre ishin ende të zbrazura. Përdoruesit kanë raportuar gjithashtu se llogaritë e Trust Wallet janë shteruar nga fondet, por këto llogari janë të kufizuara.
Vlera totale e humbur nga shfrytëzimi është ende e panjohur, por shifra të larta deri në 580 milion dollarë janë raportuar sa portofol ” është shënuar në SolScan si i përfshirë në shfrytëzim me një bilanc prej 570 milion dollarë. Megjithatë, shumica e këtyre fondeve janë nga token EXIST, i cili nuk gjurmohet as në CoinMarketCap dhe as në CoinGecko, kështu që shuma likuide e shfrytëzuar ka më shumë gjasa më pak se 10 milionë dollarë.
Themeluesi dhe CEO i Binance, CZ, ka rekomanduar gjithashtu tani të gjithë përdoruesit që kanë përdorur kuletat në Slope Finance të transferojnë fondet në një portofol të ri ose në Binance nëse nuk i kuptoni fjalët "çelës privat ose frazë fillestare".
Nëse keni përdorur një portofol Slope (për SOL) në të kaluarën, zhvendosni fondet tuaja në një portofol tjetër ASAP. Mos "importoni" portofolin e vjetër. Përdorni një çelës të ri privat ose një frazë fillestare. Nëse nuk e dini kuptimin e këtyre fjalëve, dërgoni SOL-in tuaj tek @binance. Mënyra e lehtë. https://t.co/t1lYcgaX5z
- CZ? Binance (@cz_binance) Gusht 3, 2022
Burimi: https://cryptoslate.com/solana-exploit-related-to-imported-slope-finance-wallets-private-keys-revealed/