Search icon
ReadWrite
see notifications
Notifications
see more
paint-brush
Un breve discurso sobre el hack de Solanapor@wole
986 lecturas
986 lecturas

Un breve discurso sobre el hack de Solana

por Hephzibah Adejumo3m2022/08/04
Read on Terminal Reader
Read this story w/o Javascript
tldt arrow
en-flagENes-flagEShi-flagHIzh-flagZHvi-flagVIfr-flagFRpt-flagPTja-flagJA
ES

Demasiado Largo; Para Leer

Solana no fue hackeada. En cambio, se vio comprometido un proveedor de billetera, que registraba las claves privadas de los usuarios.

Company Mentioned

Mention Thumbnail

Coin Mentioned

Mention Thumbnail
featured image - Un breve discurso sobre el hack de Solana
Hephzibah Adejumo HackerNoon profile picture


El 2 de agosto de 2022, el ecosistema de Solana fue atacado por un ataque que afectó a 8000 billeteras y les quitó un exceso de $5 millones en tokens SOL y SPL.

Hackear billeteras criptográficas

Su billetera puede verse comprometida si firma una transacción maliciosa o expone sus claves privadas. Por lo tanto, todo lo que necesita hacer para protegerse es mantener sus claves seguras y evitar firmar transacciones incompletas. Parece bastante fácil, ¿verdad? Equivocado.


Las estafas criptográficas que involucran robos y drenajes de billeteras emplean varias técnicas de piratería, incluida la ingeniería social. El tema recurrente es incitar a las personas a conectar sus billeteras a sitios, protocolos y dApps maliciosos, y firmar transacciones.


En los casos en que no se puede hacer que el objetivo firme una transacción, la siguiente línea de acción es obtener acceso a sus claves privadas. Sus claves privadas pueden verse comprometidas si un tercero tiene acceso a ellas, por ejemplo, si las almacena en su dispositivo o en formato electrónico.

El truco de Solana

Solana no fue pirateada y sigue siendo una cadena de bloques segura. El Solana Hack se refiere erróneamente al compromiso de 8,000 billeteras, lo que provocó una pérdida de fondos de alrededor de $ 5 millones. Una vez que se hizo evidente que se estaba produciendo un ataque, se aconsejó a la comunidad que revocara todas las conexiones de confianza realizadas a cualquier protocolo. Sin embargo, esto no detuvo el hackeo.


La mayoría de las billeteras agotadas no habían firmado ninguna transacción antes, por lo que se descarta una transacción maliciosa. Una investigación preliminar muestra que las billeteras enviaban los fondos por sí mismas.

Lo siguiente a considerar es una fuga de claves privadas. Parece casi inverosímil que todas esas billeteras tuvieran sus claves filtradas y un ataque lanzado simultáneamente. Sería comprensible si se tratara de una organización que sufrió una brecha ya que usa una base de datos centralizada, pero estos eran usuarios aleatorios aparentemente sin vínculo entre ellos.


Debido a la naturaleza de la cadena de bloques y la forma en que se crean las billeteras sin custodia, ninguna entidad debe tener acceso a sus claves a menos que haya sido descuidado con ellas.


Se crea una billetera sin custodia en su dispositivo y la información no se envía a través de un servidor. Cuando se crean billeteras sin custodia, las claves se generan aleatoriamente sin una relación matemática entre las claves y las direcciones correspondientes. No quiero entrar en detalles técnicos, pero no se puede generar una clave a partir de una dirección.


Dado que el hack no se debió a la firma de una transacción maliciosa, es evidente que se trató de una fuga de claves. La pregunta ahora es cómo se filtraron las claves. Las claves privadas se pueden filtrar de muchas maneras, como:


  • Estabas guardando descuidadamente tus llaves, como en tu diario, donde pueden quedar fácilmente expuestas.
  • Su dispositivo está infectado por un programa de monitoreo, como un registrador de teclas.
  • Estaba enviando claves a través de Internet, lo que lo hace susceptible a los ataques de intermediarios.


Pero en un giro inesperado, se reveló que la violación fue causada por un proveedor de billetera llamado Slope Wallet. Una investigación realizada por auditores de seguridad y desarrolladores reveló que las claves privadas se transmitieron a un dispositivo de monitoreo de aplicaciones, y las billeteras afectadas se crearon o importaron a Slope Wallet.


Slope Wallet registró frases iniciales de billetera en sus servidores, lo que no debería ser posible para billeteras sin custodia ya que la billetera se crea en su dispositivo. Quizás este fue un código descuidado, que les permitió leer información y registrarla, o fue por diseño. Este registro de claves hizo que el pirata informático pudiera obtenerlas al violar la base de datos de Slope. Slope Wallet supuestamente es un proveedor de servicios de billetera sin custodia, y una filtración como esta comienza a generar dudas sobre la seguridad y la privacidad en general.

Fastex
L O A D I N G
. . . comments & more!

About Author

Hephzibah Adejumo HackerNoon profile picture
Hephzibah Adejumo@wole
Backend Developer, Web3 Developer, Cybersecurity Analyst, and Technical Writer.
Read my stories

ETIQUETAS

#blockchain #cryptocurrency #what-happened-to-solana #hacking #solana #solana-attack #crypto-wallet #hackernoon-top-story

ESTE ARTÍCULO FUE PRESENTADO EN...

Permanent on Arweave
Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

HISTORIAS RELACIONADAS

Article Thumbnail
La guía completa para una migración exitosa a la nube: estrategias y mejores prácticas
by marutitechlabs
Jan 01, 1970
#cloud-migration
Article Thumbnail
Una guía del arquitecto para crear una arquitectura de referencia para un lago de datos de IA/ML
by minio
Jan 01, 1970
#minio
Article Thumbnail
Mi viaje de tres años como autónomo: cómo completé 1200 proyectos y gané mucho dinero
by kriswaters
Jan 01, 1970
#freelancing
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas