撰文:凱爾
「似乎有一個廣泛存在的漏洞可以耗盡整個 Solana 生態系統的錢包資產。」8 月 3 日早間,Solana 生態的 NFT 市場 Magic Eden 的這條推文在區塊鏈行業傳播。
緊接著,一場大規模的用戶資產盜竊案在人們眼皮底下上演了。根據多家安全公司的追蹤,失竊的 Solana 錢包數量從 5000 個持續增長,截至下午 1 點,大約有 7767 個錢包資產失竊,各種加密資產及 NFT 被轉走。
可怕的是,盡管業內已經意識到漏洞存在,但截至發稿,漏洞的源頭尚未找到。而在此期間,黑客仍在持續掏空用戶的錢包。
根據慢霧安全團隊追蹤,約有 5.8 億美元加密資產流向了 4 個攻擊者地址。由于此次攻擊并非是針對單一協議的攻擊,更像是黑客破解了大量用戶的私鑰。慢霧推測,問題可能出在軟件供應鏈上。
「供應鏈攻擊」是一種新型的攻擊手法。攻擊者往往會在上游或中游介入,將其惡意活動及其后效應向下游傳播給更多用戶。因此,與孤立的安全漏洞相比,供應鏈攻擊一旦得手,損失規模更大、影響更深遠。有安全人士猜測,可能是用戶使用的某款錢包出現了漏洞,導致私鑰暴露。
Phantom在Solana上引入優先費,在網絡擁堵期間會自動提高費用以優先處理交易:3 月 24 日消息,加密錢包 Phantom 在社交媒體發文宣布在 Solana 上引入優先費,在網絡擁堵期間會自動提高費用以優先處理用戶在區塊中的交易,以便快速執行。[2023/3/24 13:23:44]
目前,Solana 官方團隊 Solana Status 已經發布了一份表格,向失竊用戶收集相關信息,以分析漏洞所在。安全人士建議,為避免類似事件造成資產損失,用戶最好使用硬件錢包,并創建一個新的助記詞,已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。
8 月 3 日,一場大規模的黑客襲擊席卷 Solana 公鏈。根據早間 Solana 生態 NFT 市場 Magic Eden 發布的警告,似乎有一個廣泛存在的漏洞可以耗盡整個 Solana 生態系統的錢包資產。
緊接著,區塊鏈審計安全團隊 OtterSec 披露,在過去幾個小時內,已有超過 5000 個 Solana 錢包資金被盜取,OtterSec 分析顯示,這些交易是由實際所有者簽署,這表明存在私鑰泄露。該漏洞還可能影響 ETH 用戶。
Magic Eden總交易額突破2000萬枚SOL:金色財經報道,據Dune Analytics數據顯示,Solana鏈上NFT市場Magic Eden總交易額已突破2000萬枚SOL,本文撰寫時達到22,983,374枚SOL。此外,Magic Eden的總交易量也突破了7700萬筆,目前為77,682,819筆。[2022/8/13 12:23:21]
Solana 鏈上錢包大規模失竊事件迅速在用戶群中引發恐慌。而這次攻擊帶來的損失還未停止,就在事件發酵過程中,仍不斷有用戶中招。
當日上午 10 點 30 分許,Alavanche 公鏈創始人 Emin Gün Sirer 監測到,針對 Solana 生態系統的攻擊在持續進行,被盜錢包數量已增加至 7000 多個,「并且正在以每分鐘 20 個的速度增長。」
Solana生態項目Marinade宣布其MNDE治理NFT將于4月4日開啟鑄造:4月3日消息,Solana生態項目Marinade宣布其MNDE治理NFT將于4月4日開啟鑄造,屆時將提供3333個限量版Octopus Chef。[2022/4/3 14:01:21]
Emin Gün Sirer 監測到被盜錢包數量持續增加
Emin Gün Sirer 也注意到了交易簽名的細節,他認為攻擊者很可能已經獲得了對私鑰的訪問權限。
如果發生大范圍的私鑰泄露,意味著用戶錢包中的資金可能隨時被黑客提走。在恐慌情緒下,許多用戶紛紛登錄錢包轉移資金,避免資產損失。
這一大范圍的黑客攻擊引發了許多 Solana 生態項目方的警覺。
Move to Earn 應用 STEPN 發文提醒用戶,若此前將非托管錢包從外部導入或導出 STEPN,需要檢查那些錢包是否有任何資產丟失,用戶應及時從該錢包轉移資產,或從 STEPN 應用程序中生成一個新的非托管錢包。
數據:Solana上DeFi協議總鎖倉量為97.5億美元:金色財經報道,DeFiLlama數據顯示,Solana上DeFi協議總鎖倉量為97.5億美元。其中,鎖倉量排名前三的協議分別是Raydium(12.4億美元)、Marinade Finance(11億美元)、Sunny(29.3億美元)、Serum(9.07億美元)。[2022/1/9 8:35:40]
Magic Eden 也再次發文提醒稱,用戶最好用新的助記詞創建一個新錢包,并把所有 NFT 和有流動性的加密資產轉移至新錢包,更穩妥的是把所有資產都放進冷錢包。
由于此次失竊事件的特征指向私鑰泄露,Solana 生態的錢包應用商頗受關注。根據許多失竊用戶的反饋,他們多使用 Slope 和 Phantom 錢包生成賬戶。一些人初步懷疑,可能是錢包服務商存在漏洞,致使用戶私鑰暴露。
而 Phantom 錢包不認為這是它特有的問題,該錢包的官方公告表示,暫時無法查明 Solana 生態系統中的漏洞,「我們正在與其他團隊密切合作,一旦收集到更多信息,我們將發布更新。」
Solana生態NFT游戲Genopets完成830萬美元種子輪融資:10月18日消息,Solana生態“Move-to-Earn”NFT游戲Genopets完成830萬美元種子輪融資,Konvoy Ventures和Pantera Capital領投,Old Fashion Research、Alameda Research、Solana Capital、Xoogler Ventures、Mechanism Capital、Collab Currency、Spartan Group、Animoca Brands、OliveX、Hyper、CMT Digital、DeFi Alliance、Eniac Ventures、CMS Holdings、GBV Capital、Yield Guild Games、Merit Circle、Bitscale Capital、Infinity Ventures Crypto、Evernew Capital、Fundamental Labs、Valhalla Capital、Cinchblock、Raptor Capital、Magnus Capital等機構以及Prabhakar Reddy(FalconX聯合創始人) 、Richard Ma(Quantstamp CEO)、Kevin Lin(Twitch聯合創始人)、 John Robinson(100 Thieves 總裁&COO)、Brian Corrigan(PUBG Corporation副總裁兼美洲區主管)、 Keisuke Honda(日本職業足球運動員)和Melanie Strong(Nike高管)等天使投資人參投。
新融資將用于擴大團隊,加速游戲開發,并繼續與社區一起成長。據悉,該游戲從用戶的手機或可穿戴健身設備中提取數據,將用戶顯示生活的狀態轉化為游戲中寵物的狀態,并可以獲得游戲中的獎勵。[2021/10/18 20:37:59]
截至 8 月 3 日下午 1 點,此次盜竊案的源頭仍未找到,仍不斷有用戶爆出資產失竊。根據 Solana 官方開發團隊 Solana Status 發布的攻擊事件更新,大約有 7767 個錢包受到影響,「工程師目前正在與多個安全研究人員和生態系統團隊合作,以確定漏洞利用的根本原因」。
此次大范圍攻擊事件在區塊鏈發展史上當屬首次。過去,大部分黑客攻擊多集中在單一的交易所、應用協議或跨鏈橋上,比如利用某個鏈上協議的漏洞,將協議內的用戶資金「一鍋端」。而此次,黑客則更像是通過未知途徑破解了大量的用戶私鑰,并逐一轉走了用戶資產。
根據慢霧安全團隊對此事件的跟蹤,約有 5.8 億美元加密資產流向了 4 個攻擊者地址。「不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測問題可能出現在軟件供應鏈上。」
Emin Gün Sirer 也認為,一種可能的途徑是供應鏈攻擊,其中 JS 庫被黑客入侵,竊取了用戶的私鑰。
「JS 庫」一般指被封裝好的 JavaScript 函數,其特點是可以直接在程序中進行調用。從一些失竊用戶的反饋來看,被盜的錢包似乎是在過去 9 個月內創建的,但也有報告說新創建的錢包也受到影響,因此暫時無法確定是哪個供應鏈軟件出現了漏洞。
對于一些用戶提出可以用交易回滾的方式找回用戶資產,也有安全人士表示這種方式并不適用于本次事件,「因為無法分辨哪些交易是用戶自己簽名的。」
值得注意的是,盡管此次攻擊波及的用戶量龐大,且 Solana 網絡也出現了卡頓和部分應用中斷服務的情況,但底層鏈的運行并未受到影響。Solana 驗證節點 Laine 發文稱,Solana 多個 RPC 節點似乎已停止服務請求,可能因過載或故意造成,但 Solana 區塊鏈屬于正常運行狀態。
上述信息都將本次安全事件的源頭指向了「供應鏈攻擊」。這是一種新型的攻擊手法,尤其在注重智能合約相互耦合的 Web3 的領域,攻擊者往往會在上游或中游介入,將其惡意活動及其后效應向下游傳播給更多用戶。因此,與孤立的安全漏洞相比,成功的供應鏈攻擊帶來的損失規模更大,影響更深遠。
8 月 3 日下午,Solana Status 已經發布了一份表格,用于向失竊用戶收集相關信息,以分析漏洞所在。
Solana?Status 收集用戶信息分析被盜原因
根據最新消息,Solana Labs 聯合創始人 aeyakovenko 透露,此次攻擊事件似乎是 iOS 供應鏈受到了攻擊,其中多個只收到 SOL 且沒有其他交互的可信錢包受到了影響,它們曾將外部生成的私鑰導入 iOS。但他的這種猜測還無法得到證實,「只是所有已確認的信息都是 iOS 設備,但也可能是因為它的受歡迎程度。」
關于 Solana 大規模失竊案的更多細節及原因還有待安全團隊更進一步的分析和披露。值得警惕的是,「供應鏈攻擊」手法似乎已經開始滲透區塊鏈領域,用戶在使用鏈上應用程序時,可能因加密錢包、輸入法等基礎的 Web2 程序存在漏洞,導致私鑰泄露。安全人士建議,為避免類似事件造成資產損失,用戶最好使用硬件錢包,并創建一個新的助記詞,已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。
原文:Layer 2 Playgrounds 內容概要 簡介 為什么要從 L1 到 L2? 產品維度 維度 1:什么是 L2? 維度 2:驗證方法 維度 3:市場細分 維度 4: 生態系統的進步.
1900/1/1 0:00:00盡管技術發展和標準對于實現新的數字身份框架非常重要,但法律和法規問題也同樣重要。文/歐盟區塊鏈瞭望臺和論壇編譯/Meagreeee、柳葉驚鴻 對于一個運行中的社會經濟來說,沒有什么比身份更重要了.
1900/1/1 0:00:00漸進式荷蘭拍賣的工作原理是將一筆拍賣分解為一系列荷蘭拍賣,以幫助欠缺流動性的資產完成公開銷售。本文介紹了漸進式荷蘭拍賣(Gradual Dutch Auction,以下簡稱為 GDA),一種能夠.
1900/1/1 0:00:00圖1 DAO 中心化組織 傳統而言,組織這一概念建立在一個嚴格的所有制結構之上。隨著近幾十年的發展,大量的企業逐漸試圖創建一個開放式的管理模式,以便向更多的員工提供一個發聲的平臺.
1900/1/1 0:00:00▌ 中國香港擬嚴厲打擊非合規加密業務與廣告,將于明年3月生效8月5日消息,中國香港《2022年打擊洗錢及恐怖分子資金籌集(修訂)條例草案》正在進行修訂批準,將于明年3月1日生效.
1900/1/1 0:00:00虛擬機(VM)于20世紀60年代誕生。這篇我們將回答以下問題:什么是VM?為什么人們需要虛擬機?虛擬機在區塊鏈項目中扮演什么角色?那么,虛擬機到底是什么?最早出現在計算機世界中時,VM 的定義是.
1900/1/1 0:00:00