Solana 錢包大規模失竊 源頭指向供應鏈軟件_SOL

撰文：凱爾

「似乎有一個廣泛存在的漏洞可以耗盡整個 Solana 生態系統的錢包資產。」8 月 3 日早間，Solana 生態的 NFT 市場 Magic Eden 的這條推文在區塊鏈行業傳播。

緊接著，一場大規模的用戶資產盜竊案在人們眼皮底下上演了。根據多家安全公司的追蹤，失竊的 Solana 錢包數量從 5000 個持續增長，截至下午 1 點，大約有 7767 個錢包資產失竊，各種加密資產及 NFT 被轉走。

可怕的是，盡管業內已經意識到漏洞存在，但截至發稿，漏洞的源頭尚未找到。而在此期間，黑客仍在持續掏空用戶的錢包。

根據慢霧安全團隊追蹤，約有 5.8 億美元加密資產流向了 4 個攻擊者地址。由于此次攻擊并非是針對單一協議的攻擊，更像是黑客破解了大量用戶的私鑰。慢霧推測，問題可能出在軟件供應鏈上。

「供應鏈攻擊」是一種新型的攻擊手法。攻擊者往往會在上游或中游介入，將其惡意活動及其后效應向下游傳播給更多用戶。因此，與孤立的安全漏洞相比，供應鏈攻擊一旦得手，損失規模更大、影響更深遠。有安全人士猜測，可能是用戶使用的某款錢包出現了漏洞，導致私鑰暴露。

Solana：漏洞攻擊根本原因尚不清楚，約7767個錢包被盜:8月3日消息，Solana Status 發推稱，一個漏洞允許惡意行為者從 Solana 的多個錢包中盜取資金。截至世界標準時間凌晨 5 點，大約有 7767 個錢包受到影響。該漏洞利用影響了多個錢包，包括 Slope 和 Phantom，移動錢包和插件錢包都受到影響。工程師目前正在與多個安全研究人員和生態系統團隊合作，以確定漏洞利用的根本原因，目前尚不清楚。沒有證據表明硬件錢包受到影響，強烈建議用戶使用硬件錢包，并且不要在硬件錢包上重復使用助記詞，創建一個新的助記詞。被盜取的錢包應被視為已損壞并丟棄。[2022/8/3 2:55:40]

目前，Solana 官方團隊 Solana Status 已經發布了一份表格，向失竊用戶收集相關信息，以分析漏洞所在。安全人士建議，為避免類似事件造成資產損失，用戶最好使用硬件錢包，并創建一個新的助記詞，已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。

Solana Riptide黑客松已正式啟動，總獎金達500萬美元:2月3日消息，Solana Ventures宣布推出第五屆Solana Riptide黑客松，比賽時間為2022年2月2日至3月17日，任何有興趣在Solana區塊鏈開發項目的用戶都可以注冊參與。本屆Riptide黑客松將專注于鼓勵支付、DeFi、Web3、游戲和DAO領域的新項目，本輪黑客松的建設者將會獲得規模更大的Solana社區會談、研討會、資源和支持。

除一系列線上活動外，Solana基金會還在多個地區（洛杉磯、西雅圖、新加坡、迪拜、莫斯科、香港和布拉格等）贊助了Solana Hacker Houses，以便Riptide參與者親自到現場進行開發。Hacker House為建設者提供了工作、尋找隊友、向Solana生態知名開發者學習的機會和場地。[2022/2/3 9:29:10]

8 月 3 日，一場大規模的黑客襲擊席卷 Solana 公鏈。根據早間 Solana 生態 NFT 市場 Magic Eden 發布的警告，似乎有一個廣泛存在的漏洞可以耗盡整個 Solana 生態系統的錢包資產。

Coinbase即將上市Solana生態系統代幣:1月27日，消息人士稱，Coinbase即將上市Solana生態系統代幣，擁有48億美元流通供應的Solana生態USDC將成為受支持的資產之一。Coinbase拒絕置評。（coindesk）[2022/1/27 9:16:26]

緊接著，區塊鏈審計安全團隊 OtterSec 披露，在過去幾個小時內，已有超過 5000 個 Solana 錢包資金被盜取，OtterSec 分析顯示，這些交易是由實際所有者簽署，這表明存在私鑰泄露。該漏洞還可能影響 ETH 用戶。

Solana 鏈上錢包大規模失竊事件迅速在用戶群中引發恐慌。而這次攻擊帶來的損失還未停止，就在事件發酵過程中，仍不斷有用戶中招。

當日上午 10 點 30 分許，Alavanche 公鏈創始人 Emin Gün Sirer 監測到，針對 Solana 生態系統的攻擊在持續進行，被盜錢包數量已增加至 7000 多個，「并且正在以每分鐘 20 個的速度增長。」

RAHO將打造solana鏈上基于 Oracle 的 NFT 競技游戲:據官方消息，Radio-Hero 目前在Pinksale即將上線，RAHO上Solana鏈上基于 Oracle 的 NFT 競技游戲，Radio-Hero 包含Radio-Hero games、Metadata NFT 和Radio-Hero Metaverse對應了不同未來發展的分支。RAHO 采用DAO治理經濟模型實現GameFi+DAO融合。[2022/1/11 8:41:30]

Emin Gün Sirer 監測到被盜錢包數量持續增加

Emin Gün Sirer 也注意到了交易簽名的細節，他認為攻擊者很可能已經獲得了對私鑰的訪問權限。

如果發生大范圍的私鑰泄露，意味著用戶錢包中的資金可能隨時被黑客提走。在恐慌情緒下，許多用戶紛紛登錄錢包轉移資金，避免資產損失。

Circle CEO：USDC多鏈策略首個合作伙伴為Solana:9月11日消息，Circle首席執行官Jeremy Allaire在推特上表示，在短短一周內，Solana 區塊鏈上的 USDC 流通量從10億美元躍升至20億美元。實際上，USDC從一年前就開始嘗試多鏈策略，并與許多重要的新興鏈建立合作伙伴關系，首個為Solana，Circle對Solana可以為 USDC 帶來的規模、速度和成本效率感到興奮。除了Solana，Circle還與FTX和Serum也都達成了合作，人們可以使用USDC輕松在FTX（托管）和Phantom（非托管）進行P2P支付，而且幾乎沒有太多成本，交易幾秒就能完成，開發人員也可以利用 Circle 應用程序接口在 Solana 區塊鏈上進行基于 USDC 開發。[2021/9/11 23:18:05]

這一大范圍的黑客攻擊引發了許多 Solana 生態項目方的警覺。

Move to Earn 應用 STEPN 發文提醒用戶，若此前將非托管錢包從外部導入或導出 STEPN，需要檢查那些錢包是否有任何資產丟失，用戶應及時從該錢包轉移資產，或從 STEPN 應用程序中生成一個新的非托管錢包。

Magic Eden 也再次發文提醒稱，用戶最好用新的助記詞創建一個新錢包，并把所有 NFT 和有流動性的加密資產轉移至新錢包，更穩妥的是把所有資產都放進冷錢包。

由于此次失竊事件的特征指向私鑰泄露，Solana 生態的錢包應用商頗受關注。根據許多失竊用戶的反饋，他們多使用 Slope 和 Phantom 錢包生成賬戶。一些人初步懷疑，可能是錢包服務商存在漏洞，致使用戶私鑰暴露。

而 Phantom 錢包不認為這是它特有的問題，該錢包的官方公告表示，暫時無法查明 Solana 生態系統中的漏洞，「我們正在與其他團隊密切合作，一旦收集到更多信息，我們將發布更新。」

截至 8 月 3 日下午 1 點，此次盜竊案的源頭仍未找到，仍不斷有用戶爆出資產失竊。根據 Solana 官方開發團隊 Solana Status 發布的攻擊事件更新，大約有 7767 個錢包受到影響，「工程師目前正在與多個安全研究人員和生態系統團隊合作，以確定漏洞利用的根本原因」。

此次大范圍攻擊事件在區塊鏈發展史上當屬首次。過去，大部分黑客攻擊多集中在單一的交易所、應用協議或跨鏈橋上，比如利用某個鏈上協議的漏洞，將協議內的用戶資金「一鍋端」。而此次，黑客則更像是通過未知途徑破解了大量的用戶私鑰，并逐一轉走了用戶資產。

根據慢霧安全團隊對此事件的跟蹤，約有 5.8 億美元加密資產流向了 4 個攻擊者地址。「不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，我們推測問題可能出現在軟件供應鏈上。」

Emin Gün Sirer 也認為，一種可能的途徑是供應鏈攻擊，其中 JS 庫被黑客入侵，竊取了用戶的私鑰。

「JS 庫」一般指被封裝好的 JavaScript 函數，其特點是可以直接在程序中進行調用。從一些失竊用戶的反饋來看，被盜的錢包似乎是在過去 9 個月內創建的，但也有報告說新創建的錢包也受到影響，因此暫時無法確定是哪個供應鏈軟件出現了漏洞。

對于一些用戶提出可以用交易回滾的方式找回用戶資產，也有安全人士表示這種方式并不適用于本次事件，「因為無法分辨哪些交易是用戶自己簽名的。」

值得注意的是，盡管此次攻擊波及的用戶量龐大，且 Solana 網絡也出現了卡頓和部分應用中斷服務的情況，但底層鏈的運行并未受到影響。Solana 驗證節點 Laine 發文稱，Solana 多個 RPC 節點似乎已停止服務請求，可能因過載或故意造成，但 Solana 區塊鏈屬于正常運行狀態。

上述信息都將本次安全事件的源頭指向了「供應鏈攻擊」。這是一種新型的攻擊手法，尤其在注重智能合約相互耦合的 Web3 的領域，攻擊者往往會在上游或中游介入，將其惡意活動及其后效應向下游傳播給更多用戶。因此，與孤立的安全漏洞相比，成功的供應鏈攻擊帶來的損失規模更大，影響更深遠。

8 月 3 日下午，Solana Status 已經發布了一份表格，用于向失竊用戶收集相關信息，以分析漏洞所在。

Solana?Status 收集用戶信息分析被盜原因

根據最新消息，Solana Labs 聯合創始人 aeyakovenko 透露，此次攻擊事件似乎是 iOS 供應鏈受到了攻擊，其中多個只收到 SOL 且沒有其他交互的可信錢包受到了影響，它們曾將外部生成的私鑰導入 iOS。但他的這種猜測還無法得到證實，「只是所有已確認的信息都是 iOS 設備，但也可能是因為它的受歡迎程度。」

關于 Solana 大規模失竊案的更多細節及原因還有待安全團隊更進一步的分析和披露。值得警惕的是，「供應鏈攻擊」手法似乎已經開始滲透區塊鏈領域，用戶在使用鏈上應用程序時，可能因加密錢包、輸入法等基礎的 Web2 程序存在漏洞，導致私鑰泄露。安全人士建議，為避免類似事件造成資產損失，用戶最好使用硬件錢包，并創建一個新的助記詞，已出現問題或有私鑰泄露風險的錢包應被視為已損壞并丟棄。

Tags：SOLSOLASolanaOLASOL幣很垃圾solana幣的最新價格solana幣今日走勢圖

Coinw