Seperti awalnya melaporkan oleh CryptoSlate dini hari Rabu pagi, eksploitasi signifikan telah menyebabkan ribuan dompet kripto kehabisan dana. Laporan awal dirilis karena insiden itu sedang berlangsung; namun, artikel lanjutan mengungkapkan informasi lebih lanjut mengenai koneksi ke Slope FINance.
Informasi akhirnya terungkap tentang asal usul eksploitasi. Slope mengeluarkan pernyataan pada Rabu malam yang menyarankan semua pemilik dompet untuk memindahkan dana apa pun di dompet yang diimpor ke Slope. Peringatan tersebut diperluas pada saran untuk menyatakan bahwa “tidak merekomendasikan penggunaan frase benih yang sama pada dompet baru yang Anda miliki di Slope.”
Phantom, dompet Solana lain yang banyak digunakan pengguna saat dana terkuras, membuat pernyataan yang mengidentifikasi “komplikasi terkait dengan mengimpor akun ke dan dari Slope Finance.”
1/ Phantom memiliki alasan untuk percaya bahwa eksploitasi yang dilaporkan disebabkan oleh komplikasi yang terkait dengan mengimpor akun ke dan dari @slope_finance.
Kami masih bekerja secara aktif untuk mengidentifikasi apakah mungkin ada kerentanan lain yang berkontribusi pada insiden ini. https://t.co/W5B19gbMJX
— Hantu (@hantu) 3 Agustus 2022
Akun Twitter Solana Status, yang dijalankan oleh Solana Foundation, juga mengeluarkan pernyataan yang mengonfirmasi hubungannya dengan dompet ponsel Slope.
Setelah penyelidikan oleh pengembang, tim ekosistem, dan auditor keamanan, tampaknya alamat yang terpengaruh pada satu titik dibuat, diimpor, atau digunakan dalam aplikasi dompet seluler Slope. 1/2
— Status Solana (@SolanaStatus) 3 Agustus 2022
Di utas Twitter, Solana Foundation mengungkapkan bahwa "informasi kunci pribadi secara tidak sengaja dikirimkan ke layanan pemantauan aplikasi."
Lapisan perak dalam kisah tragis adalah bahwa masalahnya tidak muncul menjadi masalah generasi blockchain atau benih. Cacat dalam bukti kriptografi blockchain Solana dapat memiliki efek yang menghancurkan pada seluruh ekosistem kripto. Namun, ini tampaknya tidak lagi menjadi masalah, dan Solana Foundation menegaskan bahwa “tidak ada bukti bahwa protokol Solana atau kriptografinya telah disusupi.”
Dalam tangkapan layar log dari Moon Rank NFT, Foobar menyoroti kemungkinan penyertaan kunci pribadi dan frasa mnemonik dalam panggilan API Slope. Sementara permintaan POST tampaknya telah dikirim melalui enkripsi SSL, fakta bahwa frase benih disertakan mengganggu. Kemungkinan penyebabnya adalah serangan man-in-the-middle di mana aktor jahat dapat mendengarkan komunikasi antara dua pihak untuk mencuri informasi sensitif.
MITM log dari @MoonRankNFT menunjukkan mnemonic yang diteruskan ke server Slope melalui permintaan POST. Nama dompet murni kebetulan pic.twitter.com/qL9C49ipvV
— foobar (@0xfoobar) 3 Agustus 2022
Agak mengkhawatirkan, pengguna masih menyatakan bahwa mereka “tidak pernah menggunakan Slope dalam hidup [mereka],” namun dompet mereka masih terkuras. Pengguna juga telah melaporkan akun Trust Wallet kehabisan dana, tetapi akun ini terbatas.
Nilai total yang hilang dari eksploitasi belum diketahui, tetapi angka setinggi $580 juta telah dilaporkan sebagai dompet ” telah ditandai di SolScan sebagai terlibat dalam eksploitasi dengan saldo $570 juta. Namun, sebagian besar dana ini berasal dari token EXIST, yang tidak dilacak di CoinMarketCap atau CoinGecko, sehingga jumlah cairan yang dieksploitasi kemungkinan besar kurang dari $10 juta.
Pendiri dan CEO Binance, CZ, kini juga merekomendasikan semua pengguna yang telah menggunakan dompet di Slope Finance untuk memindahkan dana ke dompet baru atau ke Binance jika Anda tidak memahami kata-kata “kunci pribadi atau frase awal.”
Jika Anda menggunakan dompet Slope (untuk SOL) di masa lalu, pindahkan dana Anda ke dompet lain secepatnya. Jangan “mengimpor” dompet lama. Gunakan kunci pribadi atau frase benih baru. Jika Anda tidak tahu arti kata-kata itu, kirimkan SOL Anda ke @binansi. Cara yang mudah. https://t.co/t1lYcgaX5z
— CZ? Binance (@cz_binance) 3 Agustus 2022
Sumber: https://cryptoslate.com/solana-exploit-related-to-imported-slope-finance-wallets-private-keys-revealed/