项目团队于周三下午发布了有关从Solana网络至少八千个投资组合中耗尽资金的攻击的新澄清(3)。显然,至少有一个罪魁祸首:Slope钱包。
“在开发人员,生态系统团队和安全审计员进行调查后,受影响的地址似乎是在Slope移动钱包应用程序中创建,导入或使用的,”@SolanaStatus。
根据Solana的官方资料,该漏洞仅存在于此单个钱包服务中,但Slope使用的硬件钱包仍然安全。
“虽然究竟如何发生这种情况的细节仍在调查中,但私钥信息无意中被传输到应用程序监控服务,”该消息补充道。
整个下午,对Slope服务违规行为的怀疑在Twitter上引起了关注,特别是在Solana的创建者Anatoly Yakovenko表示,用户@0xfoobar的假设可能是正确的之后,他说:
“Slope投资组合似乎以纯文本形式向外部集成合作伙伴发送了助记词[代表用户的私钥]。受损的Phantom钱包来自Slope中使用的助记词的导入。受损的ETH钱包也来自助记词的重用。
然后,用户纠正自己说:“Slope没有向外部合作伙伴发送助记词,但可能在他们自己的集中式服务器上注册了这些助记词。
Slope的团队在一份官方声明中对此事做出了裁决,但避免了细节:“一组Slope钱包在违规行为中遭到入侵。我们对违规行为的性质有一些假设,但没有什么是坚定的。我们感受到了社区的痛苦,我们也不能幸免。我们自己的许多员工和创始人的投资组合已经耗尽,“他说。
该公司表示,它正在努力找出问题的原因以及如何最终解决问题。同时,它建议使用您的服务的用户执行以下操作:
“使用独特的助记词创建一个新钱包,并将所有资产转移到新的投资组合中。同样,我们不建议使用您在这个新钱包中斜坡上相同的助记词。如果您使用的是硬件钱包,那么您的密钥就不会受到损害。
Phantom团队是Solana生态系统中最受欢迎的投资组合,他们也表示问题来自Slope钱包。
“Phantom有理由相信,报告的漏洞利用是由于与Slope导入帐户或从Slope导入帐户相关的复杂性。我们仍在积极努力确定是否存在导致此事件的其他漏洞,该公司表示。
他们还建议,如果任何Phantom用户安装了其他投资组合,他们应该使用从头开始创建的新助记词来防止将资产移动到Slope以外的新投资组合。
欢迎光临 优惠论坛 (https://tcelue.tv/) | Powered by Discuz! X3.1 |