Інцидент безпеки Slope Wallet: комплексний аналіз і керівництво із захисту користувачів

Огляд інциденту

У серпні 2022 року відбулася складна кібератака проти користувачів застосунку Slope wallet, яка тривала близько 4 годин. Під час інциденту зловмисники скомпрометували 9 231 гаманець і викрали цифрові активи на суму близько 4,1 мільйона доларів США. Аналіз блокчейнових транзакцій показав, що приватні ключі уражених гаманців було скомпрометовано, а викрадені ключі використовували для несанкціонованих операцій. Інцидент є суттєвим порушенням безпеки, що вплинуло на значну частину користувачів Slope wallet.

Результати розслідування

Спільне розслідування розробників, аналітичних компаній і аудиторів безпеки встановило, що уражені адреси гаманців створювали, імпортували або використовували в застосунках Slope wallet на iOS та Android. Розслідування з'ясувало, що матеріали приватних ключів користувачів Slope wallet випадково передавалися на сервіс моніторингу застосунків самим застосунком Slope. Механізм, завдяки якому нападник отримав або перехопив ці дані, ще досліджують. Важливо, що розслідування підтвердило відсутність вразливостей у базовому коді протоколу, інфраструктурі блокчейну або системних основах. Це не була вразливість на рівні протоколу, а специфічна помилка безпеки застосунку, що стосувалася саме провайдера Slope wallet.

Масштаб впливу

Експлойт був ізольований провайдером Slope wallet, який підтримує кілька адрес блокчейнів. Користувачі інших програмних гаманців могли постраждати, якщо повторно використовували сід-фрази, раніше створені або збережені у Slope. Вплив охопив різні блокчейн-екосистеми через повторне використання сід-фраз, оскільки основні блокчейни застосовують мнемоніки BIP39 для створення гаманців. Аппаратні гаманці залишилися недоторканими. Користувачі, які ніколи не імпортували сід-фрази у Slope, не постраждали. Вразливість виникала лише після імпорту сід-фрази у застосунок Slope. Мережі блокчейну працювали без перебоїв.

Кроки для зниження ризиків

Користувачам, які могли користуватися Slope wallet, слід негайно вжити захисних заходів. Рекомендований процес складається з трьох кроків: створити нову сід-фразу в іншому, незкомпрометованому застосунку-гаманці; перевести всі цифрові активи, включно з токенами та NFT, із потенційно скомпрометованого гаманця у новий; повністю відмовитися від скомпрометованої адреси, щоб запобігти майбутньому несанкціонованому доступу. Користувачам радять не використовувати гаманці, створені із сід-фраз, які раніше були пов’язані з мобільними застосунками Slope. Для технічної підтримки або надання інформації про інцидент відкрито спеціальні канали зв'язку.

Висновки

Інцидент безпеки Slope wallet — це важлива подія для цифрових активів. Вона підкреслює критичне значення належного управління ключами. Інцидент був ізольований одним провайдером гаманця і не вплинув на протоколи блокчейну, але зачепив тисячі користувачів і мільйони доларів активів. Атака демонструє необхідність обережності при імпорті чутливих криптографічних даних у сторонні застосунки та важливість надійних стандартів безпеки для розробників гаманців. Користувачам, що могли постраждати, слід негайно виконати рекомендовані кроки для захисту своїх активів і запобігання несанкціонованому доступу.

FAQ

Що таке Slope Wallet і як працює цей гаманець?

Slope Wallet — це некостодіальний гаманець для блокчейну Solana. Він дозволяє користувачам безпечно керувати токенами SOL та SPL без контролю третіх осіб. Користувачі можуть надсилати, отримувати, обмінювати активи та заходити у гаманець через веб-інтерфейс чи мобільний застосунок.

Як завантажити та налаштувати Slope Wallet?

Відвідайте Chrome Web Store, знайдіть Slope Wallet і натисніть «Додати у Chrome». Дотримуйтесь інструкцій на екрані для створення гаманця та захисту приватних ключів.

Чи є Slope Wallet безпечним?

Так, Slope Wallet є безпечним. Як некостодіальний гаманець, ви контролюєте приватні ключі, що забезпечує максимальний рівень безпеки. Гаманець застосовує галузеві стандарти шифрування для захисту активів і транзакцій у блокчейні Solana.

Які токени та криптовалюти підтримує Slope Wallet?

Slope Wallet підтримує криптовалюти Ethereum і Solana. Користувачі можуть створювати нові гаманці або імпортувати існуючі для обох блокчейнів, забезпечуючи безпечне зберігання та керування токенами у цих мережах.

Як перевести SOL та інші токени у Slope Wallet або з нього?

Для переказу SOL та інших токенів використовуйте вбудовану функцію переказу Slope Wallet. Введіть адресу гаманця отримувача, виберіть токен і суму, підтвердіть операцію. Для отримання активів надайте свою адресу Slope wallet відправнику.

Які комісії стягує Slope Wallet?

Slope Wallet стягує сервісну комісію 4% за використання стейкінгових послуг. Комісія застосовується при використанні функцій стейкінгу на платформі. Додаткові мережеві комісії можуть виникати залежно від обсягу транзакцій і стану блокчейну.