À la suite de l’attaque du portefeuille Solana, l’équipe chargée de l’analyse de ce hack a informé le public et précisé que les adresses de portefeuille touchées par le piratage étaient liées aux applications de portefeuille mobile Slope. L’équipe a également souligné que « rien ne prouve que le protocole Solana ou sa cryptographie aient été compromis« .
Le rapport d’état de Solana indique que les adresses affectées ont été créées à un moment donné dans les applications de portefeuille mobile Slope.
https://twitter.com/aeyakovenko/status/1554745536741138433?s=20&t=bGtaMfypM4vTeyZvAIneHA
Au cours des dernières 48 heures, l’équipe Solana a dû faire face à une attaque qui a compromis des milliers de portefeuilles basés sur Solana. À l’époque, le cofondateur et PDG de Solana Labs, Anatoly Yakovenko, a déclaré ce qui suit pensait que l’exploit provenait probablement d’une attaque de la chaîne d’approvisionnement. Il a expliqué que les portefeuilles iOS et Android ont été affectés lorsqu’il a a dit: « la plupart des rapports proviennent de Slope, mais aussi de quelques utilisateurs de Phantom. »
Le 3 août 2022, le compte Twitter a expliqué que les adresses touchées par le piratage étaient liées aux applications de portefeuille mobile Slope. « Après une enquête menée par les développeurs, les équipes de l’écosystème et les auditeurs de sécurité, il apparaît que les adresses affectées ont été à un moment donné créées, importées ou utilisées dans les applications de portefeuille mobile Slope« , écrit Solana Status. « Cet exploit a été isolé à un portefeuille sur Solana, et les portefeuilles matériels utilisés par Slope restent sécurisés. » Solana Status dit:
Bien que les détails de la manière exacte dont cela s’est produit soient encore en cours d’investigation, des informations sur les clés privées ont été transmises par inadvertance à un service de surveillance des applications. Il n’y a aucune preuve que le protocole Solana ou sa cryptographie ait été compromis.
This exploit was isolated to one wallet on Solana, and hardware wallets used by Slope remain secure.
While the details of exactly how this occurred are still under investigation, but private key information was inadvertently transmitted to an application monitoring service. 2/3
— Solana Status (@SolanaStatus) August 3, 2022
Slope Finance a publié un déclaration officielle sur le piratage et sa responsabilité : « Une cohorte de portefeuilles Slope a été compromise dans la brèche, nous avons quelques hypothèses quant à la nature de la brèche, mais rien n’est encore ferme, [et] nous ressentons la douleur de la communauté, et nous n’étions pas immunisés. Les portefeuilles de plusieurs de nos employés et fondateurs ont été vidés. » Slope a également ajouté que l’équipe menait activement des enquêtes et des audits internes, tout en travaillant avec des groupes de sécurité et d’audit.
Les experts en sécurité affirment que les phrases de démarrage de Slope ont été enregistrées en texte clair et lisible.
Lors de la déclaration officielle, l’équipe de Slope a recommandé aux utilisateurs du portefeuille Slope de « créer un nouveau portefeuille unique avec une phrase de démarrage et de transférer tous les actifs vers ce nouveau portefeuille« . Slope a ajouté :
Si vous utilisez un porte-monnaie matériel, vos clés n’ont pas été compromises.
Les données de Dune Analytics montrent que le nombre d’adresses uniques touchées par la brèche est plus élevé que celui initialement annoncé. Les statistiques montrent que 9 223 adresses uniques ont été touchées par le bug et que 4 088 121 dollars en crypto ont été volés. La plupart des actifs piratés étaient constitués de solana et d’USDC basés sur SOL.
Over $4M was drained from Solana wallets over the past 2 days. We’ve been working directly with @solana and @slope_finance to investigate.
Here’s what we found. pic.twitter.com/Ny1gwuJfIb
— OtterSec (@osec_io) August 4, 2022
Il est en train de dit que les phrases mnémoniques de Slope transférées sur le serveur de Slope étaient enregistrées en texte lisible. L’équipe du portefeuille Slope aurait stocké les mnémoniques dans un logiciel de débogage via un serveur Sentry centralisé. Les experts en sécurité d’Ottersec ont détaillé que « toute personne ayant accès à Sentry pouvait accéder aux clés privées des utilisateurs« . Ottersec a également noté que l’équipe de Slope a été « très utile dans le partage des données liées au piratage. »
We have independently confirmed that Slope’s mobile app sends off mnemonics via TLS to their centralized Sentry server.
These mnemonics are then stored in plaintext, meaning anybody with access to Sentry could access user private keys. pic.twitter.com/PkCFTeQgOP
— OtterSec (@osec_io) August 4, 2022