По словам разработчиков, эксплойт Solana на 6 млн. долларов связан с кошельком Slope
Разработчики блокчейна Solana говорят, что кошелек Slope с закрытым исходным кодом может быть виновным в продолжающимся эксплойте, который привел к потере криптотокенов на миллионы долларов.
"Похоже, это не ошибка с основным кодом Solana, а в программном обеспечении, используемом несколькими программными кошельками, популярными среди пользователей сети", - говорится в твиттере в среду утром.
Украденные средства были выведены из ничего не подозревающих горячих кошельков, которые являются кошельками, ключи которых хранятся в Интернете, а не на аппаратном устройстве.
В заявлении разработчики Slope заявили, что "когорта" кошельков была скомпрометирована, но разработчики не подтвердили, были ли задействованы методы хранения закрытых ключей. Представитель Slope сказал: "Мы не храним никаких персональных данных на централизованном сервере". (Представитель позже признает, что это было неправильное заявление.)
Разработчики кошелька Phantom, со своей стороны, заявили, что у них есть "причина полагать, что эксплойты вызваны осложнениями, связанными с импортом учетных записей в Slope и из Slope". Генеральный директор Solana Labs Анатолий Яковенко первоначально написал в Твиттере, что он подозревает, что эксплойт может быть связан с проблемой цепочки поставок Apple iOS, но с тех пор сузил источник до взлома централизованных серверов Slope, где закрытые ключи, вероятно, хранились в виде обычного текста.
Атака на цепочку поставок - это когда мошенник вносит свой собственный вредоносный код в программное обеспечение более крупной системы. В данном случае атакой на цепочку поставок iOS, скорее всего, будет злоумышленник, получающий доступ к закрытым ключам путем проникновения в данные, подключенные к Интернету. Другие разработчики в Twitter все чаще говорят, что считают, что Slope хранил закрытые ключи в виде обычного текста на централизованном сервере, который был скомпрометирован злоумышленником.
Несколько пользователей и организаций заходили в Twitter для сбора информации от жертв эксплойта, хотя никакого плана возмездия не было изложено. 9000 опустошенных кошельков составляют лишь небольшую часть от 25 миллионов существующих горячих кошельков Solana.