En onbekannten Ugräifer huet Spéit Dënschdeg Nuecht Dausende vu Portemonnaien drainéiert mat op d'mannst $ 4 Millioune Wäert vu Solana an USDC. Den Hack, deen nach ëmmer um 8:00 PM PST leeft, schéngt aus dem Solana Browser Portemonnaie Phantom ze kommen a gouf gegleeft Benotzerschlëssel kompromittéieren—méiglecherweis involvéiert seedphrases datt ënnert Portmonni op verschiddene Ketten nees benotzt goufen
"Iwwer 5,000 Solana Portemonnaie goufen an de leschte Stonnen drainéiert," Blockchain Auditfirma Otter Sec virdrun am Owend gemellt. "Dës Transaktioune ginn vun den aktuellen Besëtzer ënnerschriwwen, wat eng Zort vu private Schlësselkompromiss suggeréiert."
Dem Solana seng Statusupdates Twitter Kont huet dat gemellt 7,767 Portemonnaien betraff sinn, a bemierkt datt "Ingenieuren d'Wuerzel Ursaach" um Mëttwoch de Moien ënnersichen. En Datendashboard, deen hackt Fongen a Portemonnaie Aktivitéit verfollegt, proposéiert awer eng vill méi héich Figur.
Entspriechend zu Solscan, Ganzen 15,220 Portemonnaie goufen betraff, an am Ganzen $ 4.46 Milliounen an Tokens, virun allem SOL an USDC, goufen beklaut.
Ënnerdeelung vu Krypto-Währungen, déi an USD geklaut sinn iwwer d'Hacker Portemonnaie. Bild: Solscan.
D'Ingenieuren am Internet, dorënner Blockchainen ausser Solana, hu geschafft fir souwuel d'Ursaach vum Ausbeutung wéi och säin Ausmooss ze probéieren an ze verstoen.
"Mir kommunizéieren aktiv mat de betraffene Portemonnaie-Teams fir eis Hëllef ze bidden an ze iwwerwaachen ob et eppes ass wat mir maache kënnen fir eis Benotzer méi sécher ze halen", sot e Pressespriecher fir den Ethereum Portemonnaie MetaMask Decrypt.
Éischt Berichter hunn de Solana Browser Portemonnaie Phantom an de Solana Ökosystem erausgesicht. D'Nouvelle huet schonn eng 8% Réckgang am Solana Wäert an den zwou Stonnen no den éischte Berichter vun der Attack, laut CoinMarketCap, déi och eng 45 Prozent Erhéijung vum Handelsvolumen an de leschten 24 Stonnen notéiert.
"Et gëtt en onbekannte $SOL Exploit deen de Moment zoufälleg Phantom Portemonnaien drainéiert," gesot Kryptoinvestor an Analyst Miles Deutscher. "$ 6m momentan geklaut. Wann Dir Fongen op Phantom hutt, gitt sécher datt Dir all Permissiounen zréckzitt + an en Hardware Portemonnaie réckelen.
Populär Solana NFT Maartplaz magesch eden huet och op Twitter geholl fir virum Exploit ze warnen.
"Et schéngt e verbreet SOL Exploit am Spill ze sinn, deen d'Portemonnaie am ganzen Ökosystem drainéiert", huet de Kont geschriwwen. Am Tweet huet Magic Eden Instruktioune geliwwert fir Permissiounen fir verdächteg Linken ze läschen.
???Et schéngt e verbreet SOL Exploit am Spill ze sinn, deen d'Portemonnaie am ganzen Ökosystem drainéiert
Hei ass wat Dir elo maache kënnt fir Iech am beschten ze schützen 1. Gitt op > Astellungen op Ärem @phantom Portemonnaie späicheren 2. > Vertrauenswierdeg Apps 3. >Revokéieren Permissiounen fir all verdächteg Linken
Phantom seet datt et déi gemellt Exploiten ënnersicht.
"Mir schaffen enk mat aneren Teams zesummen fir op de Buedem vun enger gemellt Schwachstelle am Solana Ökosystem ze kommen," Phantom twittert huet. "Zu dëser Zäit gleeft d'Team net datt dëst e Phantom-spezifesch Thema ass. Soubal mir méi Informatioun sammelen, wäerte mir en Update erausginn.
Solana, USDC primär Krypto-Währungen geklaut
Awer d'Attack schéngt net op Solana limitéiert ze sinn. En anere Benotzer huet gemellt datt säin USDC Gläichgewiicht och drainéiert war.
Twitter Benotzer Justin "Justin.sol" Barlow gepost: "Meng ERC-20 an SPL USDC gehal souwuel @slope_finance an @TrustWallet goufen drainéiert."
Fir Referenz hunn ech guer net mat Kontrakter an ~ 40 Deeg interagéiert. Meng ERC-20 an SPL USDC ofgehalen op béid @slope_finance an @TrustWallet drainéiert goufen
Crypto Analyst an Auteur @0xfoobar bestätegt datt "den Ugräifer souwuel gebierteg Tokens (SOL) wéi SPL Tokens (USDC) klaut ... beaflosst Portemonnaien déi manner wéi 6 Méint inaktiv waren."
Theoretiséiert datt et en "upstream Ofhängegkeet Versuergungskettenattack" kéint sinn, huet hien bäigefüügt datt de verbreete Berodung fir Portemonnaie Genehmegungen zréckzéien wäert wahrscheinlech net hëllefen - nëmmen d'Iwwerdroung op en offline Hardware Portemonnaie géif Fongen schützen.
"Dës SOL- a SPL-Transfere ginn vun de Benotzer selwer ënnerschriwwen, net vun enger Drëtt Partei mat Genehmegungen transferéiert", erkläert @0xfoobar. "Also wann Dir kënnt zréckzéien, ass et wahrscheinlech datt eppes verbreet private Schlëssel Kompromëss verursaacht huet."
? Verbreede Solana private Schlëssel Kompromëss?
- Den Ugräifer klaut souwuel gebierteg Tokens (SOL) wéi och SPL Tokens (USDC) - Afloss Portemonnaien déi fir> 6 Méint inaktiv goufen - souwuel Phantom & Slope Portemonnaien gemellt drainéiert pic.twitter.com/AkZXOGLD0Q
"Et gëtt kee Wee fir eng 'Interaktioun' e Portemonnaie vulnérabel ze maachen", huet de Solana Labs Matgrënner Anatoly Yakovenko weider gekläert. "Nëmmen eng Token spezifesch Delegatioun oder eng Auto-Zoustëmmung oder e geleckte Som kéint Verméigen aus engem Portemonnaie am Numm vum Benotzer transferéieren. Well Systemtransfere geschéien, schléisst dat Delegatioun aus.
Nëmmen eng Token-spezifesch Delegatioun oder eng Autoapprovisioun oder e gelakte Som kéint Verméigen aus engem Portemonnaie am Numm vum Benotzer transferéieren. Zënter Systemtransfere passéieren, schléisst dat Delegatioun aus. Et gëtt kee Wee fir eng "Interaktioun" e Portemonnaie vulnérabel ze maachen https://t.co/Pdrmjk1WYZ
