本週,一次令人費解的新駭客攻擊清空了數千個基於Phantom 和Slope Solana 的熱錢包,這是Cryptoland 一系列醜陋安全漏洞中的最新一起,導致Solana 生態系統用戶數百萬美元的資產被盜。這次駭客攻擊歸因於熱錢包應用程式 Slope 的安全問題,即無法解釋的私鑰漏洞。值得慶幸的是,Solana 鍊及其密碼學都沒有受到任何形式的破壞。週三市場似乎證實了這一點, SOL 僅下跌了幾個百分點。
在駭客攻擊發生後,Solana 基金會和CoolBitX 首席技術長 Jay Zhuang等區塊鏈安全專家敦促用戶盡快將其 SOL 和 SPL 代幣資金轉移到受支援的硬體錢包,並在此後永久放棄舊錢包。據信,駭客攻擊仍在進行中,隨著用戶私鑰的洩露,駭客可以繼續掠奪受影響錢包上的剩餘資金。
取得 CoolWallet Pro 的 Solana 硬體錢包以獲得 SOL 冷儲存保護
ICYMI 上週,專注於 DeFi 的行動硬體錢包 CoolWallet Pro 上周宣布原生支援 Solana (SOL) ,使其成為首批在冷儲存中保護 SOL 的 Solana 硬體錢包之一。 CoolWallet 還將按照其路線圖在第三季度完成 SPL 代幣和質押支援的最後工作,從而幫助為 Solana 用戶提供負擔得起、安全且易於使用的冷存儲。
立即取得 Solana 支援的 CoolWallet Pro 在此處購買 CoolWallet Pro。
Solana Hack:事後分析揭露 Slope 錢包私鑰漏洞是罪魁禍首
繼續,讓我們看看到底發生了什麼事。在最初的混亂之後,Solana 團隊將週三的駭客攻擊歸因於社交媒體上 Slope Wallet 中發現的私鑰漏洞,並堅稱 Solana 鍊及其密碼學都沒有以任何方式被破壞。隨後,斯洛普團隊在一份公開聲明中證實了這一點。
Slope 發表過失聲明並警告用戶轉移資金
7 月 3 日星期三,Slope Wallet 透過官方聲明毫無保留地承認了這一點,為這次違規事件道歉並要求用戶轉移資金。同時,他們將繼續調查問題所在。聲明指出以下幾點:
- 一批 Slope 錢包在此次洩漏中受到損害
- 他們對違規的性質有一些假設,但還沒有確定的
- 他們感受到了社區的痛苦,許多自己的員工和創辦人的錢包都被掏空了
Slope 的團隊正在「積極進行內部調查和審計,與頂級外部安全和審計小組合作,並與整個生態系統的開發人員、安全專家和協議合作,努力識別和糾正」該問題。
Solana 2022 駭客攻擊是如何發生的?
Solana 基金會在開發人員、生態系統團隊和安全審計員進行調查後得出結論,受影響的地址似乎曾在 Slope 行動錢包應用程式中創建、導入或使用。
團隊發現該漏洞被隔離到 Solana 上的一個錢包,並且不會影響 Slope 使用的硬體錢包。雖然具體發生的細節仍在調查中,但私鑰資訊不知何故無意中傳輸到了應用程式監控服務。 Solana 團隊最後表示,沒有證據顯示 Solana 協議或其密碼學遭到破壞。
立即取得 Solana 支援的 CoolWallet Pro 在此處購買 CoolWallet Pro。
Phantom Wallet 歸咎於斜率和跨帳戶導入
受歡迎的 Solana 錢包 Phantom 現在也將責任歸咎於 Slope Wallet,表示有理由相信所報告的漏洞是由於與 Slope 導入和導出帳戶相關的複雜性造成的,並且仍在積極努力確定是否存在其他漏洞這促成了這一事件。他們還敦促用戶將資產轉移到帶有新種子短語的新非 Slope 錢包。
Solana Hack:什麼被偷了?
雖然第一份 Solana 報告估計約有 7700 個錢包的私鑰洩露,但區塊鏈分析公司Elliptic 等公司的最新數據顯示,約有 8,000 個錢包的私鑰被洩露,總損失預計將增加520 萬美元。
由於大多數較小的錢包都是目標,這很可能發生在惡意軟體安裝過程中。據加密安全公司 CertiK 稱,此次攻擊源自四個不同的位址。
然而,區塊鏈審計公司OtterSec表示,攻擊者似乎正在簽署錢包的實際金鑰,這表明用戶的私鑰已被洩露。根據 BleepingComputer 報導,最初擔心這可能是一次供應鏈攻擊,但也可能表明存在瀏覽器零日漏洞,甚至用戶密碼產生方式中存在漏洞。
同時,一些 Twitter 用戶敦促用戶不要嘗試撤銷簽名權限,而是將資金從 Phantom 和 Slope 錢包轉移到集中交易所,或者最好是硬體錢包。
從 Solana 熱錢包駭客攻擊中汲取的安全經驗教訓
最新的駭客攻擊發生在價值 1.9 億美元的 Nomad 跨鏈橋駭客攻擊事件發生僅一天之後,這突顯了這樣一個事實:無論加密資產是否處於歷史最高水平,駭客都不會放慢他們盡可能懲罰薄弱加密安全措施的努力。而那些在安全方面不夠勤奮和警惕的加密項目最終可能會受到懲罰,這可能會讓你(用戶)損失所有的加密貨幣。
截至 2022 年,由於DeFi和NFT 駭客、詐騙以及諸如攝氏度、ThreeArrows Capital、BlockFi 等據稱永不沉沒的加密貨幣託管機構的迅速消亡,損失的資金已經被浪費殆盡,我們要吸取的教訓是,一切皆有可能。是的,尤其是那些非常非常糟糕的事情。如果您不小心或不願意採取額外措施來確保擁有可觀的投資組合,這種情況就可能發生。
結論:時刻保護自己
使用像 CoolWallet Pro 或 S 這樣的硬體錢包是理所當然的,我們將在下週的後續文章中解釋這一點。您的私鑰永遠不會被暴露(由於 EAL6+ 安全元件),並且由於您可以在我們的硬體錢包上完全離線生成錢包和恢復種子,因此您的種子甚至不需要數位化一秒鐘。
同時,我們安全的 CoolWallet 應用程式可讓您享受加密貨幣提供的所有樂趣,例如購買、出售、NFT 交易、DeFi 質押等。但是,任何交易都必須由您(使用者)透過實體按鈕進行實體驗證。這讓您始終掌控一切。
套用拳擊和綜合格鬥裁判在比賽開始前對拳擊手的警告:「時刻保護自己」。這同樣適用於加密貨幣。
無論您是否意識到,如果您擁有加密貨幣,您就捲入了一場對其所有權的持續戰爭,並且您需要採取正確的安全措施才能獲勝。
請隨時關注 CoolWallet 本季即將對不斷發展的 Solana 生態系統的支持,我們將為這個美妙的生態系統帶來增強的冷藏功能,以造福和支持所有用戶。
立即取得 Solana 支援的 CoolWallet Pro 在此處購買 CoolWallet Pro。
作者:Werner Vermaak,CoolWallet 編輯
本文僅供教育目的,不應被視為任何形式的財務建議。
分享:
CoolWallet 推出 Solana (SOL) 硬體錢包支援並增強冷儲存安全性
為什麼需要硬體錢包進行冷儲存?