为避免类似事件造成资产损失,用户最好使用硬件钱包。撰文:凯尔
「似乎有一个广泛存在的漏洞可以耗尽整个Solana生态系统的钱包资产。」8月3日早间,Solana生态的NFT市场MagicEden的这条推文在区块链行业传播。
紧接着,一场大规模的用户资产盗窃案在人们眼皮底下上演了。根据多家安全公司的追踪,失窃的Solana钱包数量从5000个持续增长,截至下午1点,大约有7767个钱包资产失窃,各种加密资产及NFT被转走。
可怕的是,尽管业内已经意识到漏洞存在,但截至发稿,漏洞的源头尚未找到。而在此期间,黑客仍在持续掏空用户的钱包。
根据慢雾安全团队追踪,约有5.8亿美元加密资产流向了4个攻击者地址。由于此次攻击并非是针对单一协议的攻击,更像是黑客破解了大量用户的私钥。慢雾推测,问题可能出在软件供应链上。
「供应链攻击」是一种新型的攻击手法。攻击者往往会在上游或中游介入,将其恶意活动及其后效应向下游传播给更多用户。因此,与孤立的安全漏洞相比,供应链攻击一旦得手,损失规模更大、影响更深远。有安全人士猜测,可能是用户使用的某款钱包出现了漏洞,导致私钥暴露。
Adam Cochran:币安已告知内部团队停止招聘,预计在未来3至6个月内进一步裁员:7月17日消息,Cinneamhain Ventures合伙人Adam Cochran援引媒体Protos文件发推称,币安在发送给内部员工的公告中表示,由于当前市场环境与监管环境导致利润降低,我们不得不削减开支。因此,以下福利将于6月19日立即停止:Covid护理补贴、手机补贴、健身补贴、WFH(one-off)开支补贴、新婚津贴、8岁子女补助、与员工相关的其他福利(优惠券、书籍报销等)、团建预算调整为35美元/月。
Adam Cochran称,被裁员工的平均工资低于美国工资,有些人甚至低至5万美元/年。他表示,币安在对外表示仍在招聘的同时,已经告诉内部团队停止招聘,并预计在未来3至6个月内会有更多的裁员。对于被裁的1000名员工,币安未通知他们或他们的经理,而是立即被裁。一些人被告知签署NDA保密协议,以获取少量报酬。其他人则什么都没有。目前,Adam Cochran确认的被裁员工最低工资为10,500美元/年,以BNB支付,这是拉美客户支持员工的工资。
Adam Cochran称,是Protos团队帮助将文件与来源落实到位,使这些文件能够以符合加拿大和美国新闻来源保护法的方式发布,它们也会有更多的报道。[2023/7/17 10:59:25]
目前,Solana官方团队SolanaStatus已经发布了一份表格,向失窃用户收集相关信息,以分析漏洞所在。安全人士建议,为避免类似事件造成资产损失,用户最好使用硬件钱包,并创建一个新的助记词,已出现问题或有私钥泄露风险的钱包应被视为已损坏并丢弃。
报告:2022年NFT销售笔数超1亿,同比增长67.57%:金色财经报道,一份关于2022年区块链和DApp采用的新DappRadar报告显示,去年NFT销售笔数达到1.01亿,相较于去年增加了67.57%。根据该报告,以太坊生态系统在NFT中位居榜首,占据了21%的市场份额,处理了超过2120万笔交易。紧随其后的是Wax(1450万),Polygon(1330万)和Solana(1290万)。
在交易活动方面,Solana和Immutable X生态系统都比前一年大幅增长,分别增长了440%和315%。与此同时,数据显示BNB生态系统没有变化,2021年和2022年约有100万笔交易。(Cointelegraph)[2023/1/20 11:23:26]
未知漏洞致Solana近8000个钱包失窃
8月3日,一场大规模的黑客袭击席卷Solana公链。根据早间Solana生态NFT市场MagicEden发布的警告,似乎有一个广泛存在的漏洞可以耗尽整个Solana生态系统的钱包资产。
CoinDesk发布对区块链影响最大的 50 所大学排名:香港理工大学第一,清华第六:金色财经报道,CoinDesk发布对区块链影响最大的 50 所大学排名:香港理工大学第一、新加坡国立大学第二、苏黎世大学第三。清华大学位列第六,香港大学第11、上海交通大学位列12,北京大学排名第13位,香港城市大学第17,香港中文大学第20,浙江大学第24,哈佛大学第31,耶鲁大学34,南京大学46。[2022/9/26 22:31:04]
紧接着,区块链审计安全团队OtterSec披露,在过去几个小时内,已有超过5000个Solana钱包资金被盗取,OtterSec分析显示,这些交易是由实际所有者签署,这表明存在私钥泄露。该漏洞还可能影响ETH用户。
Solana链上钱包大规模失窃事件迅速在用户群中引发恐慌。而这次攻击带来的损失还未停止,就在事件发酵过程中,仍不断有用户中招。
当日上午10点30分许,Alavanche公链创始人EminGünSirer监测到,针对Solana生态系统的攻击在持续进行,被盗钱包数量已增加至7000多个,「并且正在以每分钟20个的速度增长。」
粉丝Token累计成交额突破1000亿美元:9月26日消息,据cryptoslam最新数据显示,粉丝Token累计成交额已突破1000亿美元,截止目前为100,041,757,902美元。
按照市值排名,当前市值前三的粉丝Token分别是:桑托斯足球俱乐部的SANTOS(约79,561,760美元)、拉齐奥足球俱乐部的LAZIO(约58,613,356美元)、以及波尔图足球俱乐部的PORTO(约46,412,328美元)。[2022/9/26 22:31:01]
EminGünSirer监测到被盗钱包数量持续增加
Parallel Crowdloan将支持Aventus和Crust竞拍波卡插槽Auction 26:8月23日消息,Parallel将在即将开始的波卡插槽Auction 26中为Aventus Network和Crust Network提供Liquid Crowdloan服务。用户可通过Parallel贡献自己的DOT支持这两个项目方竞拍插槽。
从8月29日开始,用户将能够在Parallel Liquid Crowdloan页面为Aventus和Crust众筹做出贡献,并在各自项目提供的众筹奖励上获得额外1 DOT=4 PARA奖励。
据悉,Parallel Liquid Crowdloan允许贡献者通过贡献DOT获得cDOT(贡献的DOT的1:1衍生代币)来释放Crowdloan中锁定DOT的流动性。cDOT可以在Parallel AMM上Swap DOT(需做好资产规划,确保插槽解锁时有足量cDOT可用于1:1赎回)或用作Parallel Money Market的抵押品免清算的借用DOT,cDOT在Money Market中具有免清算Loan功能。[2022/8/23 12:43:26]
EminGünSirer也注意到了交易签名的细节,他认为攻击者很可能已经获得了对私钥的访问权限。
如果发生大范围的私钥泄露,意味着用户钱包中的资金可能随时被黑客提走。在恐慌情绪下,许多用户纷纷登录钱包转移资金,避免资产损失。
这一大范围的黑客攻击引发了许多Solana生态项目方的警觉。
MovetoEarn应用STEPN发文提醒用户,若此前将非托管钱包从外部导入或导出STEPN,需要检查那些钱包是否有任何资产丢失,用户应及时从该钱包转移资产,或从STEPN应用程序中生成一个新的非托管钱包。
MagicEden也再次发文提醒称,用户最好用新的助记词创建一个新钱包,并把所有NFT和有流动性的加密资产转移至新钱包,更稳妥的是把所有资产都放进冷钱包。
由于此次失窃事件的特征指向私钥泄露,Solana生态的钱包应用商颇受关注。根据许多失窃用户的反馈,他们多使用Slope和Phantom钱包生成账户。一些人初步怀疑,可能是钱包服务商存在漏洞,致使用户私钥暴露。
而Phantom钱包不认为这是它特有的问题,该钱包的官方公告表示,暂时无法查明Solana生态系统中的漏洞,「我们正在与其他团队密切合作,一旦收集到更多信息,我们将发布更新。」
截至8月3日下午1点,此次盗窃案的源头仍未找到,仍不断有用户爆出资产失窃。根据Solana官方开发团队SolanaStatus发布的攻击事件更新,大约有7767个钱包受到影响,「工程师目前正在与多个安全研究人员和生态系统团队合作,以确定漏洞利用的根本原因」。
业内分析本次攻击疑为「供应链攻击」
此次大范围攻击事件在区块链发展史上当属首次。过去,大部分黑客攻击多集中在单一的交易所、应用协议或跨链桥上,比如利用某个链上协议的漏洞,将协议内的用户资金「一锅端」。而此次,黑客则更像是通过未知途径破解了大量的用户私钥,并逐一转走了用户资产。
根据慢雾安全团队对此事件的跟踪,约有5.8亿美元加密资产流向了4个攻击者地址。「不少受害者反馈,他们使用过多种不同的钱包,以移动端钱包为主,我们推测问题可能出现在软件供应链上。」
EminGünSirer也认为,一种可能的途径是供应链攻击,其中JS库被黑客入侵,窃取了用户的私钥。
「JS库」一般指被封装好的JavaScript函数,其特点是可以直接在程序中进行调用。从一些失窃用户的反馈来看,被盗的钱包似乎是在过去9个月内创建的,但也有报告说新创建的钱包也受到影响,因此暂时无法确定是哪个供应链软件出现了漏洞。
对于一些用户提出可以用交易回滚的方式找回用户资产,也有安全人士表示这种方式并不适用于本次事件,「因为无法分辨哪些交易是用户自己签名的。」
值得注意的是,尽管此次攻击波及的用户量庞大,且Solana网络也出现了卡顿和部分应用中断服务的情况,但底层链的运行并未受到影响。Solana验证节点Laine发文称,Solana多个RPC节点似乎已停止服务请求,可能因过载或故意造成,但Solana区块链属于正常运行状态。
上述信息都将本次安全事件的源头指向了「供应链攻击」。这是一种新型的攻击手法,尤其在注重智能合约相互耦合的Web3的领域,攻击者往往会在上游或中游介入,将其恶意活动及其后效应向下游传播给更多用户。因此,与孤立的安全漏洞相比,成功的供应链攻击带来的损失规模更大,影响更深远。
8月3日下午,SolanaStatus已经发布了一份表格,用于向失窃用户收集相关信息,以分析漏洞所在。
Solana?Status收集用户信息分析被盗原因
根据最新消息,SolanaLabs联合创始人aeyakovenko透露,此次攻击事件似乎是iOS供应链受到了攻击,其中多个只收到SOL且没有其他交互的可信钱包受到了影响,它们曾将外部生成的私钥导入iOS。但他的这种猜测还无法得到证实,「只是所有已确认的信息都是iOS设备,但也可能是因为它的受欢迎程度。」
关于Solana大规模失窃案的更多细节及原因还有待安全团队更进一步的分析和披露。值得警惕的是,「供应链攻击」手法似乎已经开始渗透区块链领域,用户在使用链上应用程序时,可能因加密钱包、输入法等基础的Web2程序存在漏洞,导致私钥泄露。安全人士建议,为避免类似事件造成资产损失,用户最好使用硬件钱包,并创建一个新的助记词,已出现问题或有私钥泄露风险的钱包应被视为已损坏并丢弃。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。