Ofiarą dzisiejszego ataku padli głównie użytkownicy Solana, ale także zanotowano przypadki dotyczące ETH oraz SOL na Trust Wallet, co - o ile jest to prawda - potwierdza, że akurat tym razem (prawdopodobnie) wina nie leży po stronie Solana, a portfeli stron trzecich i dotyczy ich bezpieczeństwa.
Aktualnie nie mamy 100% potwierdzenia, ale bardzo możliwe, że problem dotyczy bezpieczeństwa portfeli mobilnych i najprawdopodobniej mieliśmy do czynienia z tzw. atakiem "supply chain", dotyczącym nieodkrytych wad w oprogramowaniu. Jak wyjaśnił to na swoim Twitterze założyciel Avalanche, taki atak "może zhakować bibliotekę JS, która kradnie klucze prywatne użytkowników". Założyciel Solana i wiele innych osób wydaje się potwierdzać tę tezę.
Seems like an iOS supply chain attack. Multiple plausible wallets that only received sol and had no interactions beyond receiving have been affected. https://t.co/ne0g3ZmLH5
— SMS T◎ly, ???????? (@aeyakovenko) August 3, 2022
As well as key that were imported into iOS, and generated externally.https://t.co/hStAr1mU6Q
Cała sprawa dotyczy portfeli mobilnych, choć nie można tak szybko ustalić dokładnej przyczyny, a dane cały czas są zbierane. Trzy nazwy, które najczęściej pojawiają się w dyskusjach poszkodowanych to Trust Wallet, Phantom oraz Slope i to ten ostatni wydaje się być największym podejrzanym. Jako że sytuacja dotknęła głównie użytkowników Solana możliwe, że przyczyną było oprogramowanie, któregoś z portfeli dedykowanych SOL.
Haker był w stanie przejąć kontrolę nad kluczami prywatnymi użytkowników co pozwoliło mu przesłać środki. Klucze mogły zostać przejęte podczas tworzenia konta lub importowania frazy seed.
Transfery tokenów odbywały się bezpośrednio, nie poprzez smart kontrakt, co wydaje się obalać teorię o ewentualnej złośliwej aplikacji, która przyznała sobie za duże prawa.
W tym momencie użytkownicy wymienionych portfeli, zwłaszcza mobilnych, powinni przelać środki na portfel sprzętowy, który jest jedyną gwarancją bezpieczeństwa środków lub na zaufaną, dużą giełdę, ponieważ potwierdzona przyczyna ataku i skala nie jest jeszcze znana.
Inną możliwością mógł być tzw. błąd ponownego użycia nonce, szerzej opisany tutaj:
I wonder if there’s a nonce reuse bug in some ed25519 signature library solana projects are using.
— Patrick “The Faucet” O'Grady ???? (@_patrickogrady) August 3, 2022
I think this would allow any attacker looking at solana to derive the private key regardless of where it was generated.
Here’s an article that covers this: https://t.co/uZ63B9HWhd
Jednak wydaje się, że ta teoria również została obalona przez argumenty dotyczące np. tego, że istnieją konta z tylko jedną transakcją przed exploitem i to w dodatku tylko otrzymaniem środków, nie wysłaniem, co w 100% dowodzi, że jest ona niepoprawna.
I just went all the way down this rabbithole and unless somone can tell me all of the 7000 addresses in question have greater than 1 signature I'm 96%+ confident that its not a nonce reuse or related crypto curve thing.
— Tay ???????? (@tayvano_) August 3, 2022
ive been told that there are multiple 1 adn 0 txn addresses
Wygląda więc na to, że ofiarą padli użytkownicy korzystający z podobnych portfeli, których głównym zainteresowaniem była Solana. Bardzo możliwe, że albo był to wspomniany wcześniej "atak łańcucha dostaw", albo jakieś inne szkodliwe oprogramowanie, które łączy ofiary, a o którym nie wiemy.
Należy pamiętać, że tylko portfele sprzętowe chronią użytkowników w pełni, ponieważ działają off-line. Wszystkie inne, czyli mobilne, programowe lub przeglądarkowe przechowują nasze wrażliwe dane na urządzeniu, a te zabezpieczone są jedynie hasłem.