未SOL之谜

恐慌，混乱，猜疑。

大家对无法回避的无差别攻击的一致反应是：没人知道谁是安全的，也没人知道谁会是下一个。

大约有8000个Solana上的地址被入侵，总共盗走了约530万美元。

昨晚UTC时间11点之后不久，网上开始 流传 Solana钱包被盗的消息，黑客直接把SOL和USDC转到自己的地址。

起初，公链级别漏洞的猜测导致了恐慌，人们不知道这是否意味着所有的Solana账户都被泄露了。

随着被盗资金的持续统计，很明显大范围的威胁并不存在，但仍然令人不安。尽管确切的漏洞还未披露，不过已经出现了一些线索。

但是恐慌滋生了谣言...

...从噪音中分离出真实的信号并不是一件容易的事。

特别感谢：OtterSec, CIA Officer

一开始有关于Phantom钱包用户丢失资金的消息，随后出现在Slope钱包用户中，大多数受害者是手机用户。

很快就确定了被攻击的地址直接批准了转账，也就是说，这不是一个简单但广泛的，钓鱼式的恶意批准的案例。

然而，这意味着更令人担忧的事情：受影响地址的私钥被泄露了。

是浏览器插件的泄漏？恶意APP？其他人则怀疑有更深层次的问题，例如ECDSA nonce的重复使用问题（如Anyswap，现在的Multichain），尽管8000个地址似乎不太可能都进行这个漏洞所需的2个以上的交易。

甚至有消息称GitHub存储库受到广泛的恶意软件攻击，但很快就被判定是巧合和夸大了。

每一个新的看法都增加了混乱，而当社区争相发表对该漏洞的理解时，唯一安全的避风港似乎就是硬件钱包甚至是CEXs。

而与此同时，在混乱中，被盗账户的数量（目前约8千）继续增加。

据了解，至少有一个以太坊地址也受到了影响。可能是由于在两条链之间使用了共同助记词的结果。

有各种猜测，从泄漏的插件到恶意APP，再到底层密码学的错误......到底这么多用户是如何被影响的，还有待观察。

然而，Solana联创Anatoly Yakovenko指出了一个"iOS供应链攻击"，影响了那些"在移动端导入或生成密钥"的用户。

为了帮助消除噪音，任何受影响的用户应该填写这个表格。

在继续调查根本原因的同时，人们的注意力也转向黑客的地址。

一个白帽自己动手DDOS黑客，减缓了他们的进展，但在此期间导致区块浏览器的停机。另一个匿名者甚至声称通过发送带有图片链接的NFT获得了黑客的信息，在查看图片时记录了发送请求的IP。

在撰写本文时，在Solana上发现的四个黑客的地址共持有5,276,392.50美元：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV ($3,618,270.02)

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu ($955,601.51)

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n ($446,965.00)

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy ($255,555.97)

这个看板提供了被盗资金明细，包括按代币类型（50%USDC，35%SOL，15%其他）和受影响钱包的损失金额（前三名：24.6万美元，12.5万美元，10万美元）等维度。

虽然Solana的吸引力一直集中在（可能有点夸大）速度和用得起（宣称的）等特点，但这样一个大范围的攻击会不会削弱用户对生态系统安全的信任？

虽然这次事件与Solana的底层技术无关，但很难摆脱紧张不安的散户对该链的诋毁。

SOL的价格在新闻爆发前后确实出现了明显的下跌，但没有出现大的崩溃，这表明恐慌现在已经完全得到控制。

但crypto是警惕的，昨天对Nomad Bridge的攻击就像今天的谣言一样，发生后一切都很混乱。那么，CT（以及rekt）喜欢一个合理的阴谋论也就不奇怪了......

在这个狂野的行业中，短期收益的承诺往往使用户忽略了个人安全的基本原则：

使用硬件钱包，分散风险，不要在有风险的跨链桥上追逐APY。

但这些是否足够呢？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。