Đội ngũ Solana đã bước đầu xác định được lý do dẫn đến sự cố bảo mật ảnh hưởng đến hàng nghìn ví tiền mã hóa trong ngày 03/08.
Như đã được Coincuatui tường thuật, mạng lưới Solana vào ngày 03/08 đã gặp phải một sự cố bảo mật nghiêm trọng, khiến khoảng 8.000 ví tiền bị xâm nhập và rút tiền. Vì hacker không tấn công vào smart contract của bất kỳ dự án nào, do đó lỗ hổng được nhận định đến từ một dự án ví tiền bị ảnh hưởng, trong đó bao gồm Phantom, Slope và Trust Wallet.
Sau quãng thời gian thu thập thông tin từ những người dùng bị ảnh hưởng nhằm xác định điểm chung, Solana nhận định nguyên nhân của vụ tấn công bắt nguồn từ ví Slope.
After an investigation by developers, ecosystem teams, and security auditors, it appears affected addresses were at one point created, imported, or used in Slope mobile wallet applications. 1/2
— Solana Status (@SolanaStatus) August 3, 2022
There is no evidence the Solana protocol or its cryptography was compromised.
3/3
— Solana Status (@SolanaStatus) August 3, 2022
“Sau quá trình điều tra bởi các nhà phát triển và chuyên gia bảo mật trong hệ sinh thái, có vẻ như các địa chỉ bị ảnh hưởng tại một lúc nào đó đều đã tạo, nhập và sử dụng các ứng dụng liên quan đến ví crypto Slope.
Lỗ hổng này chỉ ảnh hưởng đến một ví tiền của Solana, và các ví phần cứng khác của Slope vẫn an toàn. Tuy nguyên nhân chính xác vẫn đang được xác định, nhưng thông tin private key có lẽ đã bị vô tình chuyển đến một dịch vụ giám sát ứng dụng.
Không có bằng chứng cho thấy giao thức Solana hay khía cạnh mã hóa của nó đã bị xâm nhập.”
Đại diện của ví Slope cũng chia sẻ thông tin về những gì đã xảy ra, thừa nhận rằng một nhóm ví Slope đã bị ảnh hưởng trong vụ tấn công và có thể họ là nơi bắt nguồn. Slope cũng khuyên người dùng rằng hãy tạo ví mới và chuyển tài sản sang đó, đừng dùng lại ví cũ hay là cụm seed phrase cũ.
See below for our official statement on the breach situation (now posted to our Medium).
We empathize with everyone affected, and are doing our best to solve and rectify the situation.https://t.co/E9xrKbdLOy
— Slope (@slope_finance) August 3, 2022
Nhiều người dùng tiền mã hóa, từ các tiết lộ của Solana và Slope, đã thử truy dấu vụ tấn công và phát hiện Slope đã vô tình gửi các cụm mật khẩu seed phrase đến các đối tác bên thứ 3. Theo đó, phần lỗi được khoanh vùng quanh phạm vi của Sentry – bộ công cụ hỗ trợ các lập trình viên phát hiện lỗi và triển khai lại chương trình nhanh hơn. Tuy nhiên trớ trêu thay, đây lại là phần đã “log” (ghi lại) các từ khoá mnemonic từ ví của người dùng và gửi đến server của các ví Solana, từ đó bị lộ ra cho hacker. Hiện không rõ lí do vì sao ví Slope này lại triển khai thao tác “log” nói trên.
The seed phrase is broadcasted from the Slope app in this payload https://t.co/78XTHg00zL pic.twitter.com/KsupDEbcl6
— 0xTre ? (@0xTre) August 3, 2022
Sau khi tìm được nguyên nhân, CEO FTX Sam Bankman-Fried đã đưa ra bình luận rằng Solana đang là dự án tiền mã hóa bị đánh giá thấp nhất ở thời điểm hiện tại, so sánh thiệt hại của sự cố vừa rồi (khoảng 6 triệu USD) với vụ tấn công cầu nối cross-chain Nomad trị giá 190 triệu USD diễn ra trước đó 1 ngày.
this is a good example of how something can be under-rated
a random dAPP gets compromised and it’s blamed on the underlying blockchain. (To be clear, no core or internal infra had any issues! It was just a single third-party application some people used…)
in other news… https://t.co/je6r9v4jmj pic.twitter.com/bMJHRULgJB
— SBF (@SBF_FTX) August 3, 2022
“Đây là một ví dụ cho thấy cách mà một cái gì đó có thể bị xem thường.
Một dApp nào đó bị xâm nhập và mọi tội lỗi bị mang đổ lên đầu blockchain nền tảng. Để làm rõ thì không có cơ sở hạ tầng nào của Solana gặp vấn đề cả, tất cả là vì một ứng dụng bên thứ ba mà một số người đã sử dụng.
Trong một diễn biến liên quan thì…”
Giá SOL, mặc dù vậy, vẫn chưa cho thấy dấu hiệu phục hồi sau cú dump ngày hôm qua vì nhiều tin đồn rằng lỗ hổng có thể lan ra toàn mạng lưới.
Vào đầu tháng 6, mạng Solana cũng đã gặp một sự cố dẫn đến gián đoạn hoạt động blockchain kéo dài hơn 4 tiếng. Đó là lần thứ 4 Solana “sập” chỉ riêng trong năm 2022.
Coincuatui tổng hợp
Có thể bạn quan tâm:
- GitHub bị tấn công, một số dự án crypto cũng được hacker “ghé thăm”
- Hashed xác nhận mất hơn 3 tỷ USD vì LUNA-UST
Nguồn: Coin68
