风险提示:请广大读者树立正确的货币观念和投资理念,理性看待区块链,切实提高风险意识。
2022-08-09 15:46

谁会为 Solana 被盗用户买单?我们应该从中学到什么?

香港时间 2022 年 8 月 3 日,Solana 公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移资产(主要为 SOL 和 SPL 代币),截至目前已知损失超过 450 万美元,涉事钱包超过 1.5 万个,其中大部分属于 Phantom 钱包和 Slope 钱包。虽然事故原因还未查明,但两方似乎已经开始了害怕担责的甩锅,下面我们简单梳理一下事件发展时间线:

8 月 3 日早间,Solana 生态的 NFT 市场 Magic Eden 发推表示“似乎有一个广泛存在的漏洞可以耗尽整个 Solana 生态系统的钱包资产”。

8 月 3 日上午 10:30,Alavanche 公链创始人 Emin Gun Sirer 监测到,被盗钱包数量已增至 7000 多个,并且正在以每分钟 20 个的速度增长,他认为攻击者已经获得了对私钥的访问权限。

8 月 4 日 Solana 官方账号 Solana Status 表示,经过调查,此次 Solana 钱包大规模被盗与 Slope 钱包相关,所有被盗地址均为在 Slope 钱包移动端上创建、导入,或者使用过。同时,大量有关 Slope 钱包代码上传用户私钥的截图在社区广泛流传。

8 月 4 日 Slope 发表官方声明,漏洞原因尚未确认,Slope 创始人和许多员工和的钱包也遭到了攻击。

8 月 6 日 Slope 发推特表示,如果攻击者归还被盗资金,将支付 10% 赏金。并提供了 48 小时窗口期。


是什么原因导致被攻击?


此前慢雾安全团队追踪显示,约有 5.8 亿美元加密资产流向了 4 个攻击者地址。由于此次攻击并非是针对单一协议的攻击,更像是黑客破解了大量用户的私钥。种种迹象表明,黑客针对软件供应漏洞采用了“供应链攻击”。攻击者往往会在上游或中游介入,将其恶意活动及其后效应向下游传播给更多用户。因此,与孤立的安全漏洞相比,供应链攻击一旦得手,损失规模更大、影响更深远。有安全人士猜测,可能是用户使用的某款钱包出现了漏洞,导致私钥暴露。

正如 Solana 生态 NFT 市场 Magic Eden 所说“似乎有一个广泛存在的漏洞可以耗尽整个 Solana 生态系统的钱包资产”,但 Eden 忍住了可怕后半句没有说:“截至目前我们还没找到这个漏洞。”目前黑客的种种迹象表明,他们完全掌握了目标钱包的私钥,然而没有人知道目标钱包具体有哪些,并且是如何泄露私钥的。针对这个现状 Magic Eden 再次发文提醒称,用户最好用新的助记词创建一个新钱包,并把所有 NFT 和有流动性的加密资产转移至新钱包,更稳妥的是把所有资产都放进冷钱包。


到底谁该为此负责?


根据许多失窃用户的反馈,目前涉事钱包多为 Slope 和 Phantom。部分业内人士认为,可能是钱包服务商存在漏洞,致使用户私钥暴露。对此 Phantom 钱包有不同看法,其官方公告表示,暂时无法查明 Solana 生态系统中的漏洞,“我们正在与其他团队密切合作,一旦收集到更多信息,我们将发布更新。”

此外,对于 Solana Status8 月 4 日在 Twitter 上的“指控”,Slope 仅仅证实了在本事件中有一些 Slope 钱包被攻击,但对于具体原因未予置评。截至发稿前,我们看到 Slope 愿意提供 10% 的赏金给黑客用以归还用户被盗资金,并放出狠话正在与执行部门合作调查,当然如果黑客同意该 offer,Slope 也将不再继续追查。不论有无追回可能,Slope 此举,或许的确能够给到受损用户一丝慰藉。


更重要的是,我们应该从中学到什么?


在此次事件中波及行业用户甚广,近万人资产直接受损,Solana链上项目遭受直接冲击。被盗事件尚未有解决的曙光,然而即便最终完美解决追回资产,造成的影响仍然难以消弭。更好的做法无疑是将用户的资产风险降至最低,将危险隔绝在钱包之外。

如果不幸发生在自己身上,如何追回损失?

• 如果事情发生在平台,平台拒不赔付的,可商诉追责起诉平台

• 寻求法律帮助,有了立案通知单就可以要求相关机构提供相关线索或查封账号,找到黑客追回损失的概率就越大

• 找安全审计公司合作,追踪黑客地址,查找资金流向,寻求全球司法协作

• 凝聚社区的力量,与更多被盗者、加密爱好者们一起战斗

应如何正确使用钱包?

• 选择大品牌且品牌历史悠久的热钱包产品,如MetaMask、OKX Wallet

• 同时使用安全可靠的硬件钱包产品,比如USB冷钱包和硬件热钱包

• 妥善保管私钥,且私钥保存不触网

• 使用多套助记词

• 定期管理授权,推荐OKX wallet就有一键管理合约授权功能

• 切勿随意点击链接,签名授权、交互

令人慰藉的是,据欧易中文官方推特消息,本次Solana Hack事件中,欧易Web3钱包用户并未遭受损失,因为钱包未涉及Slope代码。 同时,欧易Web3钱包的私钥和助记词相关操作与第三方服务隔离,无供应链攻击风险;且私钥或助记词本地加密存储,只有用户可以解密,不触网,无泄漏风险。

欧易OKX是全球领先的加密生态建设者。拥有全球顶尖的加密资产交易平台、去中心化聚合平台Web3钱包及旨在为下一代Web3应用提供安全可编程智能合约平台的OKC。在欧易OKX,用户可以同时轻松管理Cefi&Web3资产。欧易Web3钱包是最全面的异构多链钱包,包含数字货币钱包、链上交易、NFT 市场、DApp 探索4大板块。支持29+公链、1000+Defi协议。多链、安全、简单、好用,满足你一切的 Web3 需求。

从此次事件可以看出,在Web3行业中同样需要将用户的利益、安全、体验至上,才能做出真正经得起考验的产品,才能获得用户的信赖与支持。

本文链接:https://www.defidaonews.com/article/6770332
转载请注明文章出处

下载
分享
收藏
阅读
上一篇
下一篇