Według oświadczenia dostawcy portfela Solana w czwartek, Slope Finance twierdzi, że nie ma „jednoznacznych dowodów” na powiązanie poważnego włamania Solana z własną luką w zabezpieczeniach portfela. Nadal prowadzi śledztwo w sprawie ataku, ale powiedział, że audytorzy zbliżają się do swoich wniosków.
Użytkownicy portfela Slope – i inni – byli ofiarami złośliwego exploita na początku sierpnia, który doprowadził do kradzieży ponad 4 milionów dolarów w tokenach solana (SOL) z ponad 9,000 adresów. Badacze z firmy Solana wyśledzili włamanie do luki w portfelach mobilnych Slope, w których frazy początkowe były przechowywane w postaci zwykłego tekstu.
Mimo że Slope przyznał, że rzeczywiście istnieje luka w zabezpieczeniach, pozostaje sceptyczny, że to była przyczyna włamania.
Według Slope'a, chociaż luka w zabezpieczeniach rzeczywiście istniała, liczba adresów portfela, które zostały usunięte w wyniku ataku, przekroczyła liczbę skompromitowanych adresów Slope'a. Co więcej, okazało się, że tylko 1,444 zhakowanych adresów zostało usuniętych, znacznie mniej niż całkowita liczba, które zostały usunięte.
Dostawca portfela Solana stwierdził również, że pomimo luki dostęp do serwera — na którym informacje o frazie początkowej były przechowywane w postaci zwykłego tekstu — był chroniony przez szyfrowanie typu end-to-end. Ten serwer miał również dodatkowy protokół uwierzytelniania trójskładnikowego skonfigurowany do udzielania dostępu, dodano oświadczenie.
W oparciu o te powody, Slope powiedział, że „nie ma rozstrzygających dowodów od audytorów, aby powiązać lukę Slope z exploitem”.
Slope powiedział, że jego dochodzenia nie wykazały żadnych dodatkowych problemów z bezpieczeństwem. W związku z tym dostawca portfela twierdzi, że najnowsza załatana wersja portfela Slope jest bezpieczna w użyciu. Slope w swoim oświadczeniu skrytykował jednak wydarzenia z zeszłego tygodnia, dodając, że samo istnienie luki w zabezpieczeniach wystarczyło, aby narazić fundusze użytkowników na niebezpieczeństwo.
„To nie jest nawet zbliżone do standardów bezpieczeństwa, które firma Slope postanowiła ustanowić i utrzymać, i głęboko żałujemy tych zdarzeń. Bezpieczeństwo jest dla nas najważniejsze, a nasza baza użytkowników to wszystko. Nigdy nie powinniśmy byli do tego dopuścić” – czytamy w dzisiejszym komunikacie.
Po włamaniu Slope zaoferował atakującym 10% nagrodę, jeśli zwrócą skradzione środki.
© 2022 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/162959/slope-no-conclusive-evidence-tying-4-million-solana-hack-to-its-own-security-flaw?utm_source=rss&utm_medium=rss