Инцидент с безопасностью Slope Wallet: подробный анализ

Общие сведения об инциденте

В августе 2022 года произошло серьезное нарушение безопасности, затронувшее приложение Slope wallet. За примерно 4 часа злоумышленники скомпрометировали 9 231 кошелек и похитили цифровые активы на сумму около 4,1 млн долларов США. Блокчейн-транзакции подтвердили, что приватные ключи взломанных кошельков были раскрыты и использованы для несанкционированных операций без согласия владельцев.

Технический анализ

Расследование, проведенное разработчиками, аналитическими компаниями и аудиторами безопасности, установило: инцидент не был связан с какой-либо уязвимостью протокола Solana. Уязвимость была характерна для приложений Slope wallet под iOS и Android, разработанных и выпущенных Slope Finance. Причиной стало то, что материалы приватных ключей пользователей Slope по ошибке отправлялись на сервис мониторинга приложений через приложение Slope. Механизм, с помощью которого злоумышленник получил или перехватил эти данные, пока не до конца ясен — однако это проблема реализации кошелька, а не уязвимость протокола.

Масштаб и последствия

Эксплойт был ограничен Slope Finance — провайдером кошельков, поддерживающим адреса Solana и Ethereum. Однако ущерб затронул не только пользователей Slope wallet. Владельцы других программных кошельков, таких как Phantom и Solflare, также пострадали, если ранее импортировали или повторно использовали seed-фразы, изначально сгенерированные или сохранённые в Slope. Такое стало возможным, поскольку и Ethereum, и Solana используют мнемоники BIP39, что обеспечивает совместимость между кошельками. Аппаратные кошельки не пострадали, а кошельки, для которых seed-фразы ни разу не импортировались в Slope, не были скомпрометированы. Основная инфраструктура Solana, включая создание блоков, функционировала в штатном режиме на протяжении всего инцидента.

Рекомендации по защите

Если вы использовали Slope wallet или импортировали seed-фразы в приложение Slope, необходимо срочно принять меры для обеспечения безопасности активов. Рекомендуемая последовательность действий для пользователей Slope wallet включает три шага. Во-первых, следует создать новую seed-фразу с помощью другого проверенного кошелька. Во-вторых, перевести все цифровые активы, включая токены и невзаимозаменяемые токены (NFT), с потенциально скомпрометированного кошелька на новый. В-третьих, полностью отказаться от использования скомпрометированного адреса кошелька, так как он подвержен угрозам. Не используйте повторно адреса, созданные на основе seed-фраз, которые раньше применялись в мобильных приложениях Slope, — эти seed-фразы считаются скомпрометированными.

Заключение

Инцидент с безопасностью Slope wallet стал крупным событием в криптовалютной экосистеме: было скомпрометировано более 9 000 кошельков, нанесён значительный финансовый ущерб. Уязвимость касалась только реализации кошелька Slope Finance и не относилась к протоколу Solana. Этот случай подчёркивает важность грамотного управления ключами и риски использования seed-фраз в сторонних приложениях. Всем пострадавшим пользователям рекомендуется выполнять рекомендации по генерации новых seed-фраз и переводу активов в защищённые кошельки для предотвращения дальнейших потерь и сохранности цифровых активов.

FAQ

Что такое Slope Wallet и как он работает?

Slope Wallet — некастодиальный кошелек для Solana, позволяющий безопасно управлять SOL и токенами без контроля третьих лиц. Пользователь может отправлять, получать и обменивать активы через веб- или мобильный интерфейс, сохраняя полный контроль над приватными ключами.

Безопасен ли Slope Wallet?

Slope Wallet имел уязвимости и ранее подвергался атакам, что привело к потерям средств пользователей. Рекомендуем перевести активы в другие кошельки и создать новые seed-фразы для повышения защиты.

Как установить и начать использовать Slope Wallet?

Скачайте приложение Slope Wallet, создайте учетную запись по электронной почте, сохраните приватные ключи, подключите Solana-кошелек и начните управлять цифровыми активами. Для защиты включите двухфакторную аутентификацию и дополнительные функции безопасности.

Есть ли у Solana свой кошелек?

Да, у Solana есть кошельки для хранения и управления токенами SOL и другими активами сети Solana. Эти кошельки позволяют отправлять, получать и контролировать цифровые активы на платформе Solana.

Какие основные функции Slope Wallet?

Slope Wallet — кроссплатформенный некастодиальный кошелек для Solana с доступом к DeFi, NFT и DApps. Пользователь может создавать NFT, управлять активами и работать на разных платформах: iOS, Android, Chrome и Google Play.

Чем Slope Wallet отличается от других кошельков Solana?

Slope Wallet — удобный мобильный кошелек для iOS и Android, который обеспечивает простой и безопасный доступ к Solana и активам SOL. Интуитивно понятный интерфейс и безопасная работа с блокчейном Solana делают его одним из лучших решений среди кошельков этой экосистемы.