Solana ハックについての簡単な談話

2022 年 8 月 2 日、Solana エコシステムは攻撃に見舞われ、8,000 のウォレットが影響を受け、500 万ドルを超える SOL および SPL トークンが流出しました。

暗号ウォレットのハッキング

悪意のあるトランザクションに署名したり、秘密鍵を公開したりすると、ウォレットが危険にさらされる可能性があります。したがって、自分自身を保護するために必要なことは、キーを安全に保ち、大ざっぱなトランザクションに署名しないようにすることだけです.簡単そうですよね？違う。

ウォレットのハッキングや流出を伴う暗号詐欺では、ソーシャル エンジニアリングを含むさまざまなハッキング手法が使用されます。進行中のテーマは、ウォレットを悪意のあるサイト、プロトコル、および dApps に接続させ、トランザクションに署名させることです。

ターゲットがトランザクションに署名できない場合、次のアクションは、ターゲットの秘密鍵にアクセスすることです。たとえば、秘密鍵をデバイスに保存したり、電子形式で保存したりすると、第三者が秘密鍵にアクセスできるようになると、秘密鍵が危険にさらされる可能性があります。

ソラナハック

Solana はハッキングされておらず、安全なブロックチェーンのままです。 Solana のハックは、8,000 のウォレットが侵害され、約 500 万ドルの資金が失われたと誤って言及しています。ハッキングが進行中であることが明らかになると、コミュニティは、プロトコルに対して行われたすべての信頼できる接続を取り消すようにアドバイスされました。しかし、これはハッキングを止めませんでした。

ほとんどの流出したウォレットは、以前にトランザクションに署名したことがなかったため、悪意のあるトランザクションは除外されました。予備調査では、ウォレットが自分で資金を送金していたことが示されています。

次に考慮すべきことは、秘密鍵の漏洩です。これらすべてのウォレットの鍵が漏えいし、攻撃が同時に開始されたというのは、ほとんど信じがたいことです。一元化されたデータベースを使用しているため、侵害を受けた組織であれば理解できますが、これらはランダムなユーザーであり、一見したところリンクがありません。

ブロックチェーンの性質と非管理ウォレットの作成方法により、不注意でない限り、エンティティはキーにアクセスできません。

非カストディアル ウォレットがデバイス上に作成され、情報がサーバー経由で送信されることはありません。非カストディアル ウォレットが作成されると、キーと対応するアドレス間の数学的関係なしに、キーがランダムに生成されます。技術的な詳細には触れたくありませんが、アドレスからキーを生成することはできません。

ハッキングは悪意のあるトランザクションに署名したことが原因ではないため、鍵の漏洩であったことは明らかです。問題は、鍵がどのように漏洩したかです。秘密鍵は、次のような無数の方法で漏えいする可能性があります。

• 鍵を日記など、簡単に公開できる場所に不用意に保管していました。
• お使いのデバイスは、キーロガーなどの監視プログラムに感染しています。
• インターネット経由でキーを送信していたため、中間者攻撃を受けやすくなっています。

しかし、予想外の展開で、侵害は Slope Wallet と呼ばれるウォレット プロバイダーによって引き起こされたことが明らかになりました。セキュリティ監査者と開発者による調査により、秘密鍵がアプリケーション監視デバイスに送信され、影響を受けたウォレットが作成されたか、Slope Wallet にインポートされたことが明らかになりました。

Slope Wallet はウォレット シード フレーズをサーバーに記録しました。これは、ウォレットがデバイス上に作成されるため、非カストディアル ウォレットでは不可能なはずです。おそらく、これは不注意なコードであり、情報を読み取ってログに記録できるようにしたか、設計によるものでした.このキーのログにより、ハッカーは Slope のデータベースに侵入してキーを手に入れることができました。 Slope Wallet はおそらく非保管型のウォレット サービス プロバイダーであり、このようなリークにより、セキュリティとプライバシー全般に関する疑問が生じ始めています。