Инцидент безопасности Slope Wallet: подробный анализ и руководство по защите пользователей

Обзор инцидента

В августе 2022 года произошла сложная кибератака на пользователей приложения Slope wallet, продолжавшаяся около четырех часов. Злоумышленники скомпрометировали 9 231 кошелек, похитив цифровые активы на сумму примерно 4,1 млн долларов. Анализ транзакций в блокчейне показал, что приватные ключи затронутых кошельков были украдены и использовались для несанкционированных операций. Этот инцидент стал серьезным нарушением безопасности, затронув значительную часть пользователей Slope wallet.

Результаты расследования

В ходе совместного расследования разработчики, аналитические компании и аудиторы установили, что затронутые адреса кошельков были созданы, импортированы или использовались ранее в приложениях Slope wallet на iOS и Android. Было выявлено, что приватные ключи пользователей случайно передавались сервису мониторинга приложений самим приложением Slope. Точный способ, которым злоумышленники получили или перехватили эти данные, все еще изучается. При этом подтверждено, что уязвимостей в коде протокола, инфраструктуре блокчейна или базовых системах не было. Проблема не связана с протоколом, а представляет собой ошибку безопасности конкретного приложения Slope wallet.

Масштаб воздействия

Эксплойт затронул только Slope wallet, который поддерживает несколько адресов блокчейна, однако пользователи других программных кошельков могли пострадать, если повторно использовали сид-фразы, ранее созданные или сохранённые в Slope. Влияние распространилось на разные блокчейн-экосистемы из-за повторного использования сид-фраз, ведь основные блокчейны используют мнемоники BIP39 для создания кошельков. Аппаратные кошельки не пострадали, а пользователи, чьи сид-фразы не импортировались или не применялись в Slope, не столкнулись с компрометацией. Уязвимость возникала только при явном импорте сид-фразы в приложение Slope. Работа сетей блокчейна не была нарушена этим инцидентом.

Меры по устранению

Пользователям, которые могли использовать Slope wallet, необходимо срочно предпринять меры защиты. Рекомендуется выполнить три шага: создать новую сид-фразу с помощью другого, безопасного кошелька; перевести все цифровые активы, включая токены и NFT, из потенциально скомпрометированного кошелька в новый; полностью отказаться от скомпрометированного адреса для предотвращения дальнейшего несанкционированного доступа. Не следует повторно использовать кошельки, созданные на основе сид-фраз, связанных с мобильными приложениями Slope. Для дополнительной технической поддержки или сообщения информации о нарушении доступны специальные каналы поддержки.

Заключение

Инцидент с Slope wallet — важное событие для рынка цифровых активов, которое подчеркивает критическую роль надежного управления ключами. Хотя проблема затронула только одного поставщика кошелька и не повлияла на блокчейн-протоколы, пострадали тысячи пользователей и миллионы долларов активов. Атака наглядно демонстрирует важность осторожности при импорте криптографических данных в сторонние приложения, а также необходимости серьезных мер безопасности со стороны разработчиков кошельков. Всем потенциально пострадавшим пользователям рекомендуется немедленно реализовать предложенные меры защиты для сохранения активов и предотвращения повторного несанкционированного доступа.

FAQ

Что такое Slope Wallet и как он работает?

Slope Wallet — это некостодиальный кошелек для блокчейна Solana. Он обеспечивает безопасное управление токенами SOL и SPL без участия третьих лиц. Пользователь может отправлять, получать, обменивать активы и пользоваться кошельком через веб- или мобильный интерфейс.

Как скачать и настроить Slope Wallet?

Откройте Chrome Web Store, найдите Slope Wallet и нажмите «Добавить в Chrome». Следуйте инструкциям для создания кошелька и сохранения приватных ключей.

Безопасен ли Slope Wallet?

Да, Slope Wallet безопасен. Как некостодиальный кошелек, он позволяет полностью контролировать приватные ключи, обеспечивая максимальную степень защиты. Кошелек использует современные криптографические протоколы для защиты активов и транзакций в блокчейне Solana.

Какие токены и криптовалюты поддерживает Slope Wallet?

Slope Wallet поддерживает Ethereum и Solana. Можно создать новый кошелек или импортировать существующий для обеих сетей, что обеспечивает безопасное хранение и управление токенами в этих блокчейнах.

Как перевести SOL и другие токены в Slope Wallet и из него?

Для перевода SOL и других токенов используйте встроенную функцию перевода Slope Wallet: введите адрес получателя, выберите токен и сумму, затем подтвердите транзакцию. Для получения активов предоставьте отправителю свой адрес Slope wallet.

Какие комиссии взимает Slope Wallet?

Slope Wallet взимает комиссию за услуги по стейкингу в размере 4 %. Эта комиссия применяется при использовании функций стейкинга платформы. Возможны дополнительные сетевые комиссии, которые зависят от объема транзакций и состояния блокчейна.