Solana gặp lỗ hổng bảo mật trên toàn hệ thống?
Sáng ngày 3/8, tài khoản Twitter OtterSec, nhà kiểm duyệt trên Solana đã báo cáo hơn 5,000 ví Solana của người dùng bị rút tiền trong vài giờ qua.
Ban đầu, một số nhà đầu tư phát hiện nhiều địa chỉ tiền mã hóa trên Solana bị rút tiền một cách ồ ạt khỏi ví Phantom và Slope. Tuy nhiên, vẫn chưa có nguồn tin chính thức xác nhận.
some exploit either with @phantom or @MagicEden, drained 6mil in like 10 mins literally every phantom wallet getting compromised, not sure if any other wallets too pic.twitter.com/dVtksoMeye
— Paladin (@nftpeasant) August 2, 2022
“Một số lỗ hổng trên Phantom Wallet và Magic Eden, rút ròng 6 triệu USD trong 10 phút, dường như tất cả các ví Phantom đều bị ảnh hưởng”
Về nguyên nhân của vụ việc, OtterSec cho biết những giao dịch này được ký bởi chính chủ nhân ví mã hóa nên gợi ý đến lỗ hỗng lộ private key.
These transactions are being signed by the actual owners, suggesting some sort of private key compromise. pic.twitter.com/UTMq4NWErd
— OtterSec (@osec_io) August 3, 2022
Tài khoản "oxfoobar", nhà phân tích crypto cho biết "kẻ tấn công đã cướp cả SOL lẫn token SPL. Dường như những ví hoạt động trong 6 tháng gần đây đều bị ảnh hưởng, oxfoodbar cho biết.
🚨 Widespread Solana private key compromise 🚨
— foobar (@0xfoobar) August 3, 2022
- attacker is stealing both native tokens (SOL) and SPL tokens (USDC)
- affecting wallets that have been inactive for >6 months
- both Phantom & Slope wallets reportedly drained pic.twitter.com/AkZXOGLD0Q
Điều làm mọi người lo lắng chính là việc đây không phải là một lỗ hỗng riêng lẻ mà dường như tất cả mọi ví điện tử Phantom và Slope đều bị ảnh hưởng.
🚨 Widespread Solana private key compromise 🚨
— foobar (@0xfoobar) August 3, 2022
- attacker is stealing both native tokens (SOL) and SPL tokens (USDC)
- affecting wallets that have been inactive for >6 months
- both Phantom & Slope wallets reportedly drained pic.twitter.com/AkZXOGLD0Q
Ngay cả Magic Eden cũng lên tiếng thừa nhận Solana đang gặp một sự cố bảo mặt diện rộng có thể làm thất thoát tài sản khỏi ví của người dùng. Sàn giao dịch NFT này cũng khuyên người dùng nên revoke các ứng dụng nghi ngờ khỏi ví Phantom.
🚨🚨🚨There seems to be a widespread SOL exploit at play that's draining wallets throughout the ecosystem
— Magic Ethen 🪄 (@MagicEden) August 3, 2022
Here's what you can do right now to best protect yourself
1. Go to >Settings on your @phantom wallet
2. >Trusted Apps
3. >Revoke Permissions for any suspicious links
💜
Dự án blockchain game Star Atlas cũng có một cảnh báo tương tự cho cộng đồng.
⚠️ Community Warning⚠️
— Star Atlas (@staratlas) August 3, 2022
Large scale exploit on the @Solana blockchain is in progress.
Stay safe and do the following:
1. On your @Phantom/ other wallet, go to Settings > Trusted Apps
2. Revoke Permissions for all apps
3. Move funds to cold storage
RT to spread the message! 💥
Phantom cho biết đang làm việc với những đội ngũ dự án khác về vấn đề này trong khi vẫn tin rằng đây không phải là lỗi từ phía dự án.
We are working closely with other teams to get to the bottom of a reported vulnerability in the Solana ecosystem. At this time, the team does not believe this is a Phantom-specific issue.
— Phantom (@phantom) August 3, 2022
As soon as we gather more information, we will issue an update.
Đề đối phó với tình trạng này, nhiều người đã khuyên người dùng nên revoke hay ngưng cấp phép các ứng dụng lạ. Tuy nhiên, một số khác cho rằng điều này không có ý nghĩa bởi giao dịch được ký bởi chính người dùng chứ không phải được chuyển bởi một bên thứ ba.
Why doesn't revoking approvals help? Because these SOL and SPL transfers are signed by the users themselves, not transferred away by a third party using approvals. So while you can revoke, it's likely something has caused widespread private key compromisehttps://t.co/8k3Zn46bTe
— foobar (@0xfoobar) August 3, 2022
Theo một tài khoản Twitter có tên “foobar”, cách duy nhất an toàn chính là chuyển tất cả tài sản vào một ví lạnh.
Massive exploit/drain going on with Solana seeing it live in Taiyo tons of people losing their whole balance out of no where.
— Tom 《TYR》 (@SolportTom) August 2, 2022
Move everything to a ledger NOW.
Two wallets reported:
#1 https://t.co/wfzoemsyzN
#2: https://t.co/MrScbi9hf1
Sau khi thông tin được chia sẻ, SOL đã giảm hơn 9% giá trị trong 2 tiếng đồng hồ đạt mức 37.43 USD.