Vào ngày 2 tháng 8 năm 2022, hệ sinh thái Solana đã bị ảnh hưởng bởi một cuộc tấn công ảnh hưởng đến 8.000 ví và rút chúng vượt quá 5 triệu đô la trong token SOL và SPL.
Ví của bạn có thể bị xâm phạm nếu bạn ký một giao dịch độc hại hoặc để lộ khóa cá nhân của mình. Do đó, tất cả những gì bạn cần làm để bảo vệ chính mình là giữ cho chìa khóa của mình an toàn và tránh ký các giao dịch sơ sài. Có vẻ dễ dàng, phải không? Sai.
Các trò gian lận tiền điện tử liên quan đến hack ví và rút tiền sử dụng các kỹ thuật hack khác nhau, bao gồm cả kỹ thuật xã hội. Chủ đề đang chạy là khuyến khích mọi người kết nối ví của họ với các trang web, giao thức và dApp độc hại, đồng thời ký kết các giao dịch.
Trong trường hợp mục tiêu không thể được thực hiện để ký một giao dịch, hành động sau đây là giành quyền truy cập vào các khóa riêng của họ. Các khóa riêng tư của bạn có thể bị xâm phạm nếu bên thứ ba có quyền truy cập, chẳng hạn như nếu bạn lưu trữ chúng trên thiết bị của mình hoặc ở định dạng điện tử.
Solana không bị tấn công và nó vẫn là một blockchain an toàn. Solana Hack đề cập một cách sai lầm đến sự xâm nhập của 8.000 ví, dẫn đến mất số tiền khoảng 5 triệu đô la. Một khi rõ ràng rằng một cuộc tấn công đang diễn ra, cộng đồng nên thu hồi tất cả các kết nối đáng tin cậy được thực hiện cho bất kỳ giao thức nào. Tuy nhiên, điều này không ngăn chặn được vụ hack.
Hầu hết các ví rút tiền đều không ký kết bất kỳ giao dịch nào trước đó, vì vậy, một giao dịch độc hại sẽ bị loại trừ. Một cuộc điều tra sơ bộ cho thấy rằng các ví đã tự gửi tiền.
Điều tiếp theo cần xem xét là rò rỉ khóa cá nhân. Có vẻ như gần như không thể tin được rằng tất cả các ví đó đã bị rò rỉ khóa và một cuộc tấn công được phát động đồng thời. Sẽ dễ hiểu nếu đó là một tổ chức bị vi phạm vì họ sử dụng cơ sở dữ liệu tập trung, nhưng đây là những người dùng ngẫu nhiên mà dường như không có mối liên hệ nào giữa họ.
Do bản chất của blockchain và cách tạo ví không giám sát, không thực thể nào có quyền truy cập vào các khóa của bạn trừ khi bạn bất cẩn với chúng.
Ví không giám sát được tạo trên thiết bị của bạn và thông tin không được gửi qua máy chủ. Khi ví không lưu giữ được tạo, các khóa được tạo ngẫu nhiên mà không có mối quan hệ toán học giữa các khóa và địa chỉ tương ứng. Tôi không muốn đi sâu vào chi tiết kỹ thuật, nhưng không thể tạo khóa từ một địa chỉ.
Vì vụ hack không phải do ký kết một giao dịch độc hại, nên rõ ràng đó là một vụ rò rỉ khóa. Câu hỏi bây giờ là làm thế nào mà các chìa khóa đã bị rò rỉ. Khóa riêng có thể bị rò rỉ theo vô số cách, chẳng hạn như:
Nhưng trong một bước ngoặt bất ngờ, nó được tiết lộ rằng vi phạm là do một nhà cung cấp ví có tên là Slope Wallet gây ra. Một cuộc điều tra của các nhà phát triển và kiểm toán viên bảo mật đã tiết lộ rằng các khóa riêng tư đã được truyền tới một thiết bị giám sát ứng dụng và các ví bị ảnh hưởng đã được tạo hoặc nhập vào Slope Wallet.
Slope Wallet đã ghi lại các cụm từ hạt giống ví trong máy chủ của họ, điều này không thể xảy ra đối với các ví không có người quản lý vì ví được tạo trên thiết bị của bạn. Có lẽ đây là một đoạn mã bất cẩn, cho phép họ đọc thông tin và ghi lại nó, hoặc đó là do thiết kế. Việc ghi lại các khóa này khiến hacker có thể nhúng tay vào chúng bằng cách xâm phạm cơ sở dữ liệu của Slope. Slope Wallet được cho là một nhà cung cấp dịch vụ ví không giám sát và một vụ rò rỉ như thế này bắt đầu đặt ra câu hỏi về bảo mật và quyền riêng tư nói chung.