В Slope опровергли связь бага в кошельке со взломом Solana

Аудиторы не нашли «убедительных доказательств» связи уязвимости кошелька Slope со взломом адресов Solana на миллионы долларов, заявили разработчики приложения.

3 августа неизвестные получили доступ к более чем 8000 кошелькам на базе сети. Предварительные оценки ущерба пользователей доходили до $8 млн.

В ходе расследования инцидента команда Solana пришла к выводу, что затронутые атакой адреса были «в какой-то момент созданы, импортированы или использовались в мобильных приложениях Slope».

Представители проекта Phantom, пользователи которого оказались в числе пострадавших от взлома, также заявили о связи эксплойта со Slope.

Команда кошелька совместно с аудиторами OtterSec и SlowMist, а также фирмой по борьбе с киберпреступностью TRM, начала собственное расследование.

«Проверяющие получили доступ ко всем базам и каналам данных, логам сервера и исходному коду приложений», — говорится в заявлении.

Хотя работа аудиторов еще не завершена, команда поделилась с сообществом важнейшими, на ее взгляд, выводами:

  • с 28 июля по 3 августа в имплементации сервиса оповещения разработчиков об ошибках в приложении от Sentry в мобильных кошельках Slope была обнаружена уязвимость. Баг непреднамеренно регистрировал конфиденциальные данные при формировании уведомлений;
  • нет доказательств, что скомпрометированы все уровни безопасности (например, передачи или хранения информации). Связь с сервером Sentry защищена сквозным шифрованием по протоколу HTTPS, а доступ контролируется трехфакторной аутентификацией;
  • количество взломанных адресов (суммарно 9232) превышает число переданных по каналу с Sentry. Из последних 1444 были удалены с сервера.

«Хотя у аудиторов нет убедительных доказательств связи уязвимости Slope с эксплойтом, само ее существование подвергло опасности множество активов. Это далеко не тот стандарт безопасности, который мы стремимся установить и поддерживать», — заявили разработчики.

По их словам, дополнительных багов в ходе расследования не выявлено, поэтому последняя версия кошелька безопасна.

Команда Slope заверила, что продолжит отслеживать хакера для возврата украденных активов.

Напомним, в начале августа аудиторы смарт-контрактов из Hacxyk обнаружили похожую на выявленную у Slope уязвимость в кошельке NEAR Wallet.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version