关于 Solana Hack 的简短讨论

2022 年 8 月 2 日，Solana 生态系统遭到攻击，影响了 8,000 个钱包，并耗尽了超过 500 万美元的 SOL 和 SPL 代币。

破解加密钱包

如果您签署恶意交易或暴露您的私钥，您的钱包可能会受到损害。因此，您需要做的就是保护自己的密钥安全并避免签署粗略的交易。看起来很容易，对吧？错误的。

涉及钱包黑客和流失的加密骗局采用各种黑客技术，包括社会工程。运行的主题是促使人们将他们的钱包连接到恶意网站、协议和 dApp，并签署交易。

在无法让目标签署交易的情况下，以下行动是获得对其私钥的访问权限。如果第三方有权访问您的私钥，例如，如果您将它们存储在您的设备上或以电子格式存储，则您的私钥可能会受到损害。

索拉纳黑客

Solana 没有被黑客入侵，它仍然是一个安全的区块链。 Solana Hack 错误地指的是 8,000 个钱包被盗，导致资金损失约 500 万美元。一旦发现正在进行黑客攻击，建议社区撤销与任何协议建立的所有受信任连接。然而，这并没有阻止黑客攻击。

大多数耗尽的钱包之前没有签署任何交易，因此排除了恶意交易。初步调查显示，钱包是自己发送资金的。

接下来要考虑的是私钥泄漏。所有这些钱包的密钥都被泄露并同时发起攻击似乎几乎令人难以置信。如果是因为使用集中式数据库而遭受破坏的组织，那将是可以理解的，但这些是随机用户，他们之间似乎没有任何联系。

由于区块链的性质以及非托管钱包的创建方式，除非您对它们不小心，否则任何实体都不应访问您的密钥。

在您的设备上创建一个非托管钱包，并且信息不会通过服务器发送。创建非托管钱包时，密钥是随机生成的，密钥与相应地址之间没有数学关系。我不想深入了解技术细节，但无法从地址生成密钥。

由于黑客不是因为签署了恶意交易，因此很明显这是密钥泄漏。现在的问题是密钥是如何泄露的。私钥可以通过多种方式泄露，例如：

• 您不小心将钥匙存放在日记本等容易暴露的地方。
• 您的设备被监控程序感染，例如键盘记录程序。
• 您正在通过 Internet 发送密钥，这使您容易受到中间人攻击。

但出人意料的是，泄露事件是由一家名为 Slope Wallet 的钱包提供商造成的。安全审计员和开发人员的调查显示，私钥被传输到应用程序监控设备，受影响的钱包要么被创建，要么被导入到 Slope Wallet。

Slope Wallet 在其服务器中记录了钱包种子短语，这对于非托管钱包来说是不可能的，因为钱包是在您的设备上创建的。也许这是一个粗心的代码，使他们能够读取信息并记录它，或者这是设计使然。这种密钥记录导致黑客能够通过破坏 Slope 的数据库来获取它们。 Slope Wallet 应该是一个非托管钱包服务提供商，像这样的泄漏开始引发关于安全和隐私的问题。