SOLA:Solana 钱包大规模失窃 源头指向供应链软件_Gondola Finance

撰文：凯尔

「似乎有一个广泛存在的漏洞可以耗尽整个 Solana 生态系统的钱包资产。」8 月 3 日早间，Solana 生态的 NFT 市场 Magic Eden 的这条推文在区块链行业传播。

紧接着，一场大规模的用户资产盗窃案在人们眼皮底下上演了。根据多家安全公司的追踪，失窃的 Solana 钱包数量从 5000 个持续增长，截至下午 1 点，大约有 7767 个钱包资产失窃，各种加密资产及 NFT 被转走。

可怕的是，尽管业内已经意识到漏洞存在，但截至发稿，漏洞的源头尚未找到。而在此期间，黑客仍在持续掏空用户的钱包。

根据慢雾安全团队追踪，约有 5.8 亿美元加密资产流向了 4 个攻击者地址。由于此次攻击并非是针对单一协议的攻击，更像是黑客破解了大量用户的私钥。慢雾推测，问题可能出在软件供应链上。

「供应链攻击」是一种新型的攻击手法。攻击者往往会在上游或中游介入，将其恶意活动及其后效应向下游传播给更多用户。因此，与孤立的安全漏洞相比，供应链攻击一旦得手，损失规模更大、影响更深远。有安全人士猜测，可能是用户使用的某款钱包出现了漏洞，导致私钥暴露。

Solana Pay与Shopify集成以支持USDC支付:8月23日消息，Solana Labs的去中心化支付协议Solana Pay已将其插件与Shopify集成，允许其平台上的用户进行USDC支付。[2023/8/23 18:18:07]

目前，Solana 官方团队 Solana Status 已经发布了一份表格，向失窃用户收集相关信息，以分析漏洞所在。安全人士建议，为避免类似事件造成资产损失，用户最好使用硬件钱包，并创建一个新的助记词，已出现问题或有私钥泄露风险的钱包应被视为已损坏并丢弃。

8 月 3 日，一场大规模的黑客袭击席卷 Solana 公链。根据早间 Solana 生态 NFT 市场 Magic Eden 发布的警告，似乎有一个广泛存在的漏洞可以耗尽整个 Solana 生态系统的钱包资产。

紧接着，区块链审计安全团队 OtterSec 披露，在过去几个小时内，已有超过 5000 个 Solana 钱包资金被盗取，OtterSec 分析显示，这些交易是由实际所有者签署，这表明存在私钥泄露。该漏洞还可能影响 ETH 用户。

Solana社区成员提议创建可将Ed25519密钥对转换为Curve25519密钥对的加密标准:4月10日消息，Solana社区成员Valentin发起一项提案，建议创建一个将Ed25519密钥对转换为为Diffie Hellman密钥交换协议设计的Curve25519密钥对的标准，这将支持非对称加密，而不必生成单独的密钥来执行这种操作。

Valentin解释称，随着Solana生态系统的发展，对于保护敏感数据(如帐户状态或IPFS和Arveawe等分布式文件系统上的文件)，对Solana密钥对加密标准的需求变得越来越重要。虽然Ed25519密钥对对签名消息有效，但它们不能用于非对称加密，而非对称加密对于用户隐私和数据保护至关重要。再次，提出这个建议是为了就如何派生Solana密钥对以兼容Diffie Hellman密钥交换或其他类型的加密机制兼容达成一致。一旦就此主题达成一致，钱包就可以开始实施加密功能，作为钱包标准的一部分。

Valentin还提到，作为从常规Solana密钥对派生Curve25519密钥对来执行加密的替代方案，Jordan Sexton建议可以从任何钱包（包括硬件钱包）的签名消息中派生密钥对来派生加密密钥。这种方法的一个问题可能是，一旦两个dApp请求使用相同种子的签名，密码就可能被破解。需要某种在每次加密时都必须不同的一次性随机数，这很难实现。[2023/4/10 13:54:02]

Solana 链上钱包大规模失窃事件迅速在用户群中引发恐慌。而这次攻击带来的损失还未停止，就在事件发酵过程中，仍不断有用户中招。

Solana生态支付协议Zebec宣布将向用户空投总计500万枚ZBC代币:10月27日消息，Solana生态现金流支付协议Zebec在推特上表示，即将达到500个Zepoch节点，当达到500个Zepoch节点时，将根据用户的Zebec积分向其空投总计500万枚ZBC代币，此外将为早期Zepoch节点持有者提供更多奖励，用户拥有的Zebec积分越多，从500万枚ZBC代币池中分享的份额就越多。

此前今年3月份消息，Zebec通过公开和私募代币销售完成2800万美元融资，并藉此推出了代币ZBC，Circle、Coinbase、Lightspeed等参投。[2022/10/27 11:48:00]

当日上午 10 点 30 分许，Alavanche 公链创始人 Emin Gün Sirer 监测到，针对 Solana 生态系统的攻击在持续进行，被盗钱包数量已增加至 7000 多个，「并且正在以每分钟 20 个的速度增长。」

Solana流支付协议Zebec推出Zepoch节点，预计明年推出L1链:10月17日消息，Solana生态流支付协议Zebec今日宣布，预计明年将推出自己的L1应用链Zebec Chain，并推出Zepoch节点及激励计划，官方将分发30,000个Zepoch节点，每售出50个，价格上涨0.5%。此外，持有Zepoch节点将获20%的收入奖励及ZBC代币空投等。

今年8月，Zebec以10亿美元完全稀释估值完成850万美元融资。[2022/10/17 17:29:06]

Emin Gün Sirer 监测到被盗钱包数量持续增加

Emin Gün Sirer 也注意到了交易签名的细节，他认为攻击者很可能已经获得了对私钥的访问权限。

如果发生大范围的私钥泄露，意味着用户钱包中的资金可能随时被黑客提走。在恐慌情绪下，许多用户纷纷登录钱包转移资金，避免资产损失。

Opera浏览器钱包将于2022年初支持Solana:12月10日消息，浏览器Opera表示，其原生钱包将在明年初增加对Solana的支持。Opera表示，它将是第一款支持Solana去中心化应用程序的浏览器。Solana Labs将与Opera合作进行集成。

据悉，浏览器插件Phantom是一个闭源代码平台，目前在该领域占据主导地位。它还面临着来自浏览器Brave的激烈竞争，后者同样计划支持Solana。但Brave表示其集成将在2022年上半年进行，可能会因行动速度不够快而无法争夺第一位。（CoinDesk）[2021/12/11 7:31:51]

这一大范围的黑客攻击引发了许多 Solana 生态项目方的警觉。

Move to Earn 应用 STEPN 发文提醒用户，若此前将非托管钱包从外部导入或导出 STEPN，需要检查那些钱包是否有任何资产丢失，用户应及时从该钱包转移资产，或从 STEPN 应用程序中生成一个新的非托管钱包。

Magic Eden 也再次发文提醒称，用户最好用新的助记词创建一个新钱包，并把所有 NFT 和有流动性的加密资产转移至新钱包，更稳妥的是把所有资产都放进冷钱包。

由于此次失窃事件的特征指向私钥泄露，Solana 生态的钱包应用商颇受关注。根据许多失窃用户的反馈，他们多使用 Slope 和 Phantom 钱包生成账户。一些人初步怀疑，可能是钱包服务商存在漏洞，致使用户私钥暴露。

而 Phantom 钱包不认为这是它特有的问题，该钱包的官方公告表示，暂时无法查明 Solana 生态系统中的漏洞，「我们正在与其他团队密切合作，一旦收集到更多信息，我们将发布更新。」

截至 8 月 3 日下午 1 点，此次盗窃案的源头仍未找到，仍不断有用户爆出资产失窃。根据 Solana 官方开发团队 Solana Status 发布的攻击事件更新，大约有 7767 个钱包受到影响，「工程师目前正在与多个安全研究人员和生态系统团队合作，以确定漏洞利用的根本原因」。

此次大范围攻击事件在区块链发展史上当属首次。过去，大部分黑客攻击多集中在单一的交易所、应用协议或跨链桥上，比如利用某个链上协议的漏洞，将协议内的用户资金「一锅端」。而此次，黑客则更像是通过未知途径破解了大量的用户私钥，并逐一转走了用户资产。

根据慢雾安全团队对此事件的跟踪，约有 5.8 亿美元加密资产流向了 4 个攻击者地址。「不少受害者反馈，他们使用过多种不同的钱包，以移动端钱包为主，我们推测问题可能出现在软件供应链上。」

Emin Gün Sirer 也认为，一种可能的途径是供应链攻击，其中 JS 库被黑客入侵，窃取了用户的私钥。

「JS 库」一般指被封装好的 JavaScript 函数，其特点是可以直接在程序中进行调用。从一些失窃用户的反馈来看，被盗的钱包似乎是在过去 9 个月内创建的，但也有报告说新创建的钱包也受到影响，因此暂时无法确定是哪个供应链软件出现了漏洞。

对于一些用户提出可以用交易回滚的方式找回用户资产，也有安全人士表示这种方式并不适用于本次事件，「因为无法分辨哪些交易是用户自己签名的。」

值得注意的是，尽管此次攻击波及的用户量庞大，且 Solana 网络也出现了卡顿和部分应用中断服务的情况，但底层链的运行并未受到影响。Solana 验证节点 Laine 发文称，Solana 多个 RPC 节点似乎已停止服务请求，可能因过载或故意造成，但 Solana 区块链属于正常运行状态。

上述信息都将本次安全事件的源头指向了「供应链攻击」。这是一种新型的攻击手法，尤其在注重智能合约相互耦合的 Web3 的领域，攻击者往往会在上游或中游介入，将其恶意活动及其后效应向下游传播给更多用户。因此，与孤立的安全漏洞相比，成功的供应链攻击带来的损失规模更大，影响更深远。

8 月 3 日下午，Solana Status 已经发布了一份表格，用于向失窃用户收集相关信息，以分析漏洞所在。

Solana?Status 收集用户信息分析被盗原因

根据最新消息，Solana Labs 联合创始人 aeyakovenko 透露，此次攻击事件似乎是 iOS 供应链受到了攻击，其中多个只收到 SOL 且没有其他交互的可信钱包受到了影响，它们曾将外部生成的私钥导入 iOS。但他的这种猜测还无法得到证实，「只是所有已确认的信息都是 iOS 设备，但也可能是因为它的受欢迎程度。」

关于 Solana 大规模失窃案的更多细节及原因还有待安全团队更进一步的分析和披露。值得警惕的是，「供应链攻击」手法似乎已经开始渗透区块链领域，用户在使用链上应用程序时，可能因加密钱包、输入法等基础的 Web2 程序存在漏洞，导致私钥泄露。安全人士建议，为避免类似事件造成资产损失，用户最好使用硬件钱包，并创建一个新的助记词，已出现问题或有私钥泄露风险的钱包应被视为已损坏并丢弃。

标签：OLALANASOLAZEBGondola Financesolana币下半年solana币挖矿zebra

比特币热门资讯