L’écosystème Solana a subi un piratage massif qui a touché plus de 8000 portefeuilles. Les pirates ont drainé de jetons comme SOL et USDC des portefeuilles. L’impact monétaire de l’attaque, bien qu’encore flou, est estimé à plusieurs dizaines de millions. Les portefeuilles Phantom et Slope ont été massivement touchés.
Selon le statut de Solana, de nombreux ingénieurs et cabinets d’experts en sécurité travaillent pour comprendre ce qui a mal tourné sur la plateforme. Bien qu’il existe de multiples théories, aucun consensus n’a été atteint quant à la raison du piratage.
Cependant, les experts semblent s’accorder sur le fait que le piratage n’a pas affecté les personnes qui stockaient leurs jetons dans des portefeuilles matériels ou des échanges.
Ce qui n’a pas marché pour Solana
Emin Gun Sirer, PDG et fondateur d’Ava Labs, a révélé que malgré le piratage, les transactions semblent avoir été signées correctement. Un tel piratage n’est possible que si le hacker a accès aux clés privées des utilisateurs. Foobar, un influenceur de crypto populaire et auditeur de sécurité, a également qualifié les hacks de « compromis de clé privée« .
https://twitter.com/0xfoobar/status/1554627762807349249
Sirer et Foobar ont tous deux mentionné une attaque de la chaîne d’approvisionnement comme étant la raison possible du piratage. Une attaque de la chaîne d’approvisionnement se produit lorsqu’une partie malveillante viole un système en utilisant des services tiers. Cependant, Sirer a écarté la possibilité d’un générateur de nombres aléatoires défectueux ou d’un piratage de navigateur.
Patrick O’Grady, d’Ava Labs, a révélé que le problème pourrait être dû à une éventuelle réutilisation du nonce. Cela permettrait à un pirate d’accéder aux clés privées de certains utilisateurs.
Comment se protéger du piratage de Solana Like ?
Selon plusieurs rapports, le piratage n’a affecté que les utilisateurs de certains portefeuilles. Il ne semble pas y avoir d’impact sur les utilisateurs stockant leurs jetons sur des bourses ou des portefeuilles matériels.
Cependant, ces deux approches ont leurs inconvénients. Les bourses centralisées souffrent généralement d’un manque d’autonomie sur leurs actifs, car la bourse peut suspendre les retraits sans préavis. D’autre part, les portefeuilles matériels peuvent être assez coûteux.
Dans le cas où vous n’avez accès à aucune de ces options, Foobar a recommandé de limiter toute télémétrie en amont en éteignant le dispositif qui contient vos portefeuilles.
