Solana錢包Phantom用戶資產受駭,官方:相信不是僅有我們出現問題
Solana 錢包 Phantom Wallet 傳出受駭,這是一款 Solana 公鏈專用的瀏覽器插件與 App。不少推特網友於 8/3 早上表示自己的 Phantom Wallet 資產被盜,風投合夥人 Adam Cochran 表示,這次的駭客事件看起來不是透過智能合約,僅有少數錢包受駭,也不只是 Phantom Wallet 出現問題。他猜想可能是什麼共用代碼庫有惡意更新內容,導致在錢包解鎖後,簽署交易。
他認為,這或許可以解釋受駭個案的時間差異,以及被害者的多樣性。Solana 上的問題比較難準確辨明,因為它不像是以太坊一樣有那麼多的公用基礎建設。他表示,也有人認為,可能是 Trusted App 受到攻擊,如果是這樣也建議即早停用,減低風險。
審計公司 OtterSec 表示,已有超過五千個錢包受駭,而且都是由錢包簽署交易發出,問題應類似於私鑰洩露。資安公司慢霧表示,受駭資金已全部流向特定四個地址。
廣告 - 內文未完請往下捲動
1/2
Hmm Solana hack seems to:
-Not be via program(contract)
-Have hit a few wallets, but not many major ones
-Not just be PhantomMy best first guess would be some sort of shared library had a malicious update that is letting the tx sign once a wallet is unlocked.
— Adam Cochran (adamscochran.eth) (@adamscochran) August 3, 2022
如何自保?
Solana NFT 市場 Magic Eden 團隊表示,最好的做法是:
- 到 Phantom Wallet 的設定頁面
- 選擇 Trusted App
- 使用 Revoke Permissions 將所有可疑的連結移除
🚨🚨🚨There seems to be a widespread SOL exploit at play that's draining wallets throughout the ecosystem
Here's what you can do right now to best protect yourself
1. Go to >Settings on your @phantom wallet
2. >Trusted Apps
3. >Revoke Permissions for any suspicious links💜
— Magic Eden 🪄 (@MagicEden) August 3, 2022
Solana 生態知名鏈遊 STEPN 也回應,如果用戶有導入過外部非託管錢包,或是從 STEPN 導出過非託管錢包:那麼你都應當查看這些錢包有無資產遺失,並將資產移出。並且在 STEPN App 中重新生成一個非託管錢包。
Phantom 官方回應
Phantom Wallet 官方則表示:正在密切與團隊查明回報的 Solana 生態漏洞,目前團隊並不相信者是專屬於 Phantom 的問題。一但有更多資訊,將會持續更新。系統狀態官方帳號 Solana Status 也表示,正在調查中,Slope 跟 Phantom 錢包都有受到影響 (7,767 個),包含手機 App 與瀏覽器插件,沒有證據顯示硬體錢包有受到影響。
Solana 共同創辦人推測:iOS 供應鏈攻擊
Solana 共同創辦人 Anatoly Yakovenko 推測,看起來是 iOS 供應鏈攻擊。因為有多個錢包只有收到 SOL,但除此沒有任何合約互動,還是受到影響。同時,其私鑰是由外部生成,再匯入 iOS 系統的。
註:供應鏈攻擊,是一種傳播間諜軟體的方式,一般通過產品軟體官網或軟體包存儲庫進行傳播。通常來說,黑客會瞄準部署知名軟體官網的伺服器,篡改伺服器上供普通用戶下載的軟體源代碼,將間諜軟體傳播給前往官網下載軟體的用戶。(取自維基百科)
Seems like an iOS supply chain attack. Multiple plausible wallets that only received sol and had no interactions beyond receiving have been affected. https://t.co/ne0g3ZmLH5
As well as key that were imported into iOS, and generated externally.https://t.co/hStAr1mU6Q
— toly 🇺🇸 (@aeyakovenko) August 3, 2022