Инцидент безопасности Slope Wallet: уроки управления ключами и безопасности кошельков

Краткое описание инцидента

В августе 2022 года произошла крупная атака на пользователей приложения Slope Wallet. За четыре часа злоумышленники скомпрометировали примерно 9 231 кошелек, что привело к потере около 4,1 млн $ в криптовалюте. В ходе атаки приватные ключи были использованы для подписи и осуществления вредоносных транзакций, что говорит о серьезном нарушении безопасности учетных данных пользователей. Этот случай стал одним из самых значимых инцидентов в экосистеме Solana и остается напоминанием о важности надежной защиты кошельков и грамотного управления ключами.

Техническое расследование

В ходе расследования с участием разработчиков Solana, аналитических сервисов и аудиторов по безопасности была установлена причина компрометации. Анализ транзакций в блокчейне показал, что приватные ключи пользователей оказались скомпрометированы или утрачены. Источник утечки был найден в мобильных приложениях Slope Wallet для iOS и Android. Важно — расследование выявило, что приватные ключи пользователей Slope Wallet случайно передавались сервису мониторинга приложений. Механизм, с помощью которого злоумышленники получили или перехватили эти данные, еще изучается. Отсутствие уязвимостей в основном коде протокола Solana, инфраструктуре Solana Labs и системах Solana Foundation подтверждено. Это был сбой безопасности на уровне приложения Slope Wallet, а не ошибка протокола.

Оценка влияния

Эксплойт затронул только Slope Wallet, но последствия коснулись и пользователей других программных кошельков, например Phantom и Solflare, если они повторно использовали seed-фразы, созданные или сохраненные в Slope. Кошельки Ethereum и Solana используют BIP39-мнемоники для генерации seed-фраз, поэтому пользователи, импортировавшие одну и ту же seed-фразу в кошельки Ethereum и Solana, подвергались риску в обеих сетях. Аппаратные кошельки оставались защищенными даже при работе с Slope, поскольку не открывают приватные ключи приложению. Кошельки, созданные по seed-фразам, которые не импортировались и не использовались в Slope, не пострадали. Для возникновения уязвимости требовалось только одно действие — импортировать seed-фразу в Slope. Производство блоков и работа сети не были затронуты этим инцидентом.

Рекомендации по устранению последствий

Пользователям, которые могли пострадать, следует предпринять следующие шаги. Сначала создать новую seed-фразу через другой надежный кошелек. Затем перевести все активы, включая токены и невзаимозаменяемые токены (NFT), на новый кошелек. Старый адрес нужно навсегда заблокировать и считать полностью скомпрометированным. Не следует повторно использовать кошельки, созданные на основе seed-фраз, ранее применявшихся в мобильных приложениях Slope. Команда Slope совместно с разработчиками, экспертами по безопасности и протоколами экосистемы изучала последствия инцидента и опубликовала подробный анализ событий.

Выводы

Инцидент с Slope Wallet стал критической угрозой безопасности для тысяч пользователей с серьезными финансовыми потерями. Данный случай показывает, что даже популярные кошельки могут столкнуться с катастрофическими сбоями безопасности, если приватные ключи случайно передаются сторонним сервисам. Атака затронула только приложение Slope и не повлияла на протокол Solana, но инцидент подчеркивает, насколько важно соблюдать осторожность при импорте seed-фраз в любые приложения и насколько необходимы надежные меры защиты со стороны провайдеров кошельков. Этот случай ясно показывает, что безопасность кошелька — ключевой аспект управления криптовалютой, а пользователям следует внимательно защищать свои приватные ключи и seed-фразы от любых угроз на уровне приложений.

FAQ

Что такое Slope Wallet и как он работает в Solana?

Slope Wallet — криптовалютный кошелек на базе Solana для безопасного хранения и управления цифровыми активами. Кошелек интегрируется с платформой Slope Finance, обеспечивая удобный доступ к децентрализованным биржам и функциям NFT на блокчейне Solana.

Как установить и использовать Slope Wallet?

Скачайте Slope Wallet с официального сайта, зарегистрируйте аккаунт и подключите кошелек Solana. Используйте приложение для управления активами, торговли токенами и быстрого доступа к DeFi.

Безопасен ли Slope Wallet?

Да, Slope Wallet безопасен. Кошелек регулярно проходит аудиты и проверки безопасности, а все обнаруженные уязвимости устраняются обновлениями и улучшениями.

Как импортировать или создать кошелек в Slope?

Перейдите на сайт Slope Wallet и выберите «Add to Chrome» для установки расширения. Следуйте инструкциям для создания нового кошелька или импорта существующего через seed-фразу или приватный ключ.

Какие преимущества у Slope Wallet перед другими кошельками Solana?

Slope Wallet предлагает интеграцию с экосистемой Solana, расширенные торговые возможности и удобный интерфейс. Кошелек обеспечивает быструю обработку транзакций и легкий доступ к DeFi, что делает его оптимальным выбором для активных трейдеров и разработчиков Solana.