月亮链 月亮链
Ctrl+D收藏月亮链

SOL:Solana 钱包大规模失窃 源头指向供应链软件_Frz Solar System

作者:

时间:1900/1/1 0:00:00

撰文:凯尔

「似乎有一个广泛存在的漏洞可以耗尽整个 Solana 生态系统的钱包资产。」8 月 3 日早间,Solana 生态的 NFT 市场 Magic Eden 的这条推文在区块链行业传播。

紧接着,一场大规模的用户资产盗窃案在人们眼皮底下上演了。根据多家安全公司的追踪,失窃的 Solana 钱包数量从 5000 个持续增长,截至下午 1 点,大约有 7767 个钱包资产失窃,各种加密资产及 NFT 被转走。

可怕的是,尽管业内已经意识到漏洞存在,但截至发稿,漏洞的源头尚未找到。而在此期间,黑客仍在持续掏空用户的钱包。

根据慢雾安全团队追踪,约有 5.8 亿美元加密资产流向了 4 个攻击者地址。由于此次攻击并非是针对单一协议的攻击,更像是黑客破解了大量用户的私钥。慢雾推测,问题可能出在软件供应链上。

「供应链攻击」是一种新型的攻击手法。攻击者往往会在上游或中游介入,将其恶意活动及其后效应向下游传播给更多用户。因此,与孤立的安全漏洞相比,供应链攻击一旦得手,损失规模更大、影响更深远。有安全人士猜测,可能是用户使用的某款钱包出现了漏洞,导致私钥暴露。

运动鞋品牌ASICS(亚瑟士)在Solana推出“The UI Collection”系列NFT:金色财经报道,据 ASICS(亚瑟士) 官方网站,该全球知名运动鞋品牌已宣布在 Solana 区块链上推出与实体鞋绑定的虚拟鞋NFT系列“The UI Collection”,据悉ASICS x Solana联名系列实体球鞋“GT-2000 11”仅限预购,分为“Solana-Dark Mode”和“Solana-Light Mode”两款,售价为200USDC,但要到2023年3月23日才会发货。ASICS表示,与此前发行的NFT系列不同,这次之所以选择Solana是因为该区块链“更为环保”。[2022/11/21 7:51:48]

目前,Solana 官方团队 Solana Status 已经发布了一份表格,向失窃用户收集相关信息,以分析漏洞所在。安全人士建议,为避免类似事件造成资产损失,用户最好使用硬件钱包,并创建一个新的助记词,已出现问题或有私钥泄露风险的钱包应被视为已损坏并丢弃。

吴忌寒旗下加密金融公司Matrixport推出SOL双币产品:6月9日消息,吴忌寒旗下加密金融服务公司 Matrixport 旗舰双币产品(Dual-Currency Product)宣布支持 Solana(SOL),Matrixport 此前的双币产品覆盖 BTC、ETH 和 BCH 等主流加密货币,该公司首席运营官 Cynthia Wu 称,本次添加 SOL 双币产品主要是因为加密行业越来越成熟,因此希望纳入更多原生 Token 产品,为客户提供更多安全且可持续的收益机会。

据悉,Matrixport 双币产品于 2019 年首次推出,可让投资者在波动时期利用市场机会产生收益,本次最新推出的 SOL 双币产品目前已经上线 Matrixport 应用程序。(bignewsnetwork)[2022/6/9 4:13:07]

8 月 3 日,一场大规模的黑客袭击席卷 Solana 公链。根据早间 Solana 生态 NFT 市场 Magic Eden 发布的警告,似乎有一个广泛存在的漏洞可以耗尽整个 Solana 生态系统的钱包资产。

Cell Protocol获Solana Riptide Hackathon两项共计8万美元的头等奖:4月15日消息,智能流动性协议Cell Protocol(cellfi.io)在近日举办的Solana Riptide Hackathon获得了两项共计8万美元的头等奖,分别由去中心化永续合约交易市场Mango Markets和衍生品交易平台Zeta Markets授予。

据介绍,Cell Protocol是一个搭建在订单簿DEX上的集中流动性机器人(concentrated liquidity bot)平台,致力于降低用户做市交易门槛,为订单簿DEX带来更多、更准确的流动性。[2022/4/15 14:26:14]

紧接着,区块链审计安全团队 OtterSec 披露,在过去几个小时内,已有超过 5000 个 Solana 钱包资金被盗取,OtterSec 分析显示,这些交易是由实际所有者签署,这表明存在私钥泄露。该漏洞还可能影响 ETH 用户。

Saber在Solana上推出首个wBUSD交易池:官方消息,基于Solana的去中心化交易所Saber宣布在Solana上推出首个Binance USD(wBUSD)交易池。[2021/7/11 0:43:28]

Solana 链上钱包大规模失窃事件迅速在用户群中引发恐慌。而这次攻击带来的损失还未停止,就在事件发酵过程中,仍不断有用户中招。

当日上午 10 点 30 分许,Alavanche 公链创始人 Emin Gün Sirer 监测到,针对 Solana 生态系统的攻击在持续进行,被盗钱包数量已增加至 7000 多个,「并且正在以每分钟 20 个的速度增长。」

Emin Gün Sirer 监测到被盗钱包数量持续增加

MXC抹茶成立Solana生态基金:据官方消息,MXC抹茶成立Solana生态基金,扶持Solana生态技术型项目的发展。此前,MXC抹茶与Solana生态达成合作,开放Sol-USDC充提,并于昨日上线Solana生态项目Raydium(RAY)。

Solana 是一条基于历史证明(PoH)的扩容公链协议,该协议将时间编码为数据,不依赖于分片、分区、侧链和多链,Solana 以其独特的 POH 历史证明实现上万TPS的高性能。[2021/3/19 19:00:05]

Emin Gün Sirer 也注意到了交易签名的细节,他认为攻击者很可能已经获得了对私钥的访问权限。

如果发生大范围的私钥泄露,意味着用户钱包中的资金可能随时被黑客提走。在恐慌情绪下,许多用户纷纷登录钱包转移资金,避免资产损失。

这一大范围的黑客攻击引发了许多 Solana 生态项目方的警觉。

Move to Earn 应用 STEPN 发文提醒用户,若此前将非托管钱包从外部导入或导出 STEPN,需要检查那些钱包是否有任何资产丢失,用户应及时从该钱包转移资产,或从 STEPN 应用程序中生成一个新的非托管钱包。

Magic Eden 也再次发文提醒称,用户最好用新的助记词创建一个新钱包,并把所有 NFT 和有流动性的加密资产转移至新钱包,更稳妥的是把所有资产都放进冷钱包。

由于此次失窃事件的特征指向私钥泄露,Solana 生态的钱包应用商颇受关注。根据许多失窃用户的反馈,他们多使用 Slope 和 Phantom 钱包生成账户。一些人初步怀疑,可能是钱包服务商存在漏洞,致使用户私钥暴露。

而 Phantom 钱包不认为这是它特有的问题,该钱包的官方公告表示,暂时无法查明 Solana 生态系统中的漏洞,「我们正在与其他团队密切合作,一旦收集到更多信息,我们将发布更新。」

截至 8 月 3 日下午 1 点,此次盗窃案的源头仍未找到,仍不断有用户爆出资产失窃。根据 Solana 官方开发团队 Solana Status 发布的攻击事件更新,大约有 7767 个钱包受到影响,「工程师目前正在与多个安全研究人员和生态系统团队合作,以确定漏洞利用的根本原因」。

此次大范围攻击事件在区块链发展史上当属首次。过去,大部分黑客攻击多集中在单一的交易所、应用协议或跨链桥上,比如利用某个链上协议的漏洞,将协议内的用户资金「一锅端」。而此次,黑客则更像是通过未知途径破解了大量的用户私钥,并逐一转走了用户资产。

根据慢雾安全团队对此事件的跟踪,约有 5.8 亿美元加密资产流向了 4 个攻击者地址。「不少受害者反馈,他们使用过多种不同的钱包,以移动端钱包为主,我们推测问题可能出现在软件供应链上。」

Emin Gün Sirer 也认为,一种可能的途径是供应链攻击,其中 JS 库被黑客入侵,窃取了用户的私钥。

「JS 库」一般指被封装好的 JavaScript 函数,其特点是可以直接在程序中进行调用。从一些失窃用户的反馈来看,被盗的钱包似乎是在过去 9 个月内创建的,但也有报告说新创建的钱包也受到影响,因此暂时无法确定是哪个供应链软件出现了漏洞。

对于一些用户提出可以用交易回滚的方式找回用户资产,也有安全人士表示这种方式并不适用于本次事件,「因为无法分辨哪些交易是用户自己签名的。」

值得注意的是,尽管此次攻击波及的用户量庞大,且 Solana 网络也出现了卡顿和部分应用中断服务的情况,但底层链的运行并未受到影响。Solana 验证节点 Laine 发文称,Solana 多个 RPC 节点似乎已停止服务请求,可能因过载或故意造成,但 Solana 区块链属于正常运行状态。

上述信息都将本次安全事件的源头指向了「供应链攻击」。这是一种新型的攻击手法,尤其在注重智能合约相互耦合的 Web3 的领域,攻击者往往会在上游或中游介入,将其恶意活动及其后效应向下游传播给更多用户。因此,与孤立的安全漏洞相比,成功的供应链攻击带来的损失规模更大,影响更深远。

8 月 3 日下午,Solana Status 已经发布了一份表格,用于向失窃用户收集相关信息,以分析漏洞所在。

Solana?Status 收集用户信息分析被盗原因

根据最新消息,Solana Labs 联合创始人 aeyakovenko 透露,此次攻击事件似乎是 iOS 供应链受到了攻击,其中多个只收到 SOL 且没有其他交互的可信钱包受到了影响,它们曾将外部生成的私钥导入 iOS。但他的这种猜测还无法得到证实,「只是所有已确认的信息都是 iOS 设备,但也可能是因为它的受欢迎程度。」

关于 Solana 大规模失窃案的更多细节及原因还有待安全团队更进一步的分析和披露。值得警惕的是,「供应链攻击」手法似乎已经开始渗透区块链领域,用户在使用链上应用程序时,可能因加密钱包、输入法等基础的 Web2 程序存在漏洞,导致私钥泄露。安全人士建议,为避免类似事件造成资产损失,用户最好使用硬件钱包,并创建一个新的助记词,已出现问题或有私钥泄露风险的钱包应被视为已损坏并丢弃。

标签:SOLSolanaSOLALANASolarWindsolana币价格Frz Solar Systemsolana币下半年会涨多少

以太坊交易热门资讯
UNI:罕见 以太坊收入被Uniswap等DApp超越 意味着什么?_aave币未来一个多少钱

最近出了个事儿,说大不大,说小也不小,那就是Uniswap前两周总流水超过了以太坊。说大不大,是因为这毕竟只是一个单周数据,属于“偶尔为之”;说小不小,是因为Uniswap毕竟是以太坊上面千千万.

1900/1/1 0:00:00
以太坊:以太坊硬分叉大戏愈演愈烈 交易所、项目方都是如何站队的?_RETH价格

文:Levi随着以太坊合并的临近 (预计今年9月10日进行),以太坊即将从工作量证明(PoW)过渡到权益证明(PoS),关于以太坊硬分叉为PoS和PoW两条链的争论不绝于耳.

1900/1/1 0:00:00
VERSE:Dataverse 的未来:如何打造互操作、可组合的数据层?_Metaverse Face

原文标题:《Into the Dataverse》来源:ceramic 博客编译:Evelyn,W3.Hitchhiker关于Metaverse,已经有很多人在对其进行炒作.

1900/1/1 0:00:00
DES:DeSoc中的金融:所有人为所有人谋利的逻辑分析与价值机遇(上)_BTC

撰文:Spike?编辑:Jerry Crypto?出品:ThePrimedia「DeSoc」的深层含义是「去中心化社会」,「DeSoc中的金融」是指」去中心化社会的金融,其特点是具备普惠属性.

1900/1/1 0:00:00
区块链:金色百科 | 去中心化存储是什么?有哪些明星项目_COI

在大型、集中式的数据中心中存储数据,往往存在性能、可用性和可扩展性等方面问题,同时也会带来较高的资本或运营支出。而且,集中存储数据也极易受到复杂网络攻击.

1900/1/1 0:00:00
简版丨区块链本质论(1): 计算本质

区块链本质论区块链被大家关注事件好事情,但非常不希望看到各种区块链项目盲目上马,造成各种社会资源的浪费.

1900/1/1 0:00:00