In Solanas „Lehrbuch“-Antwort auf Exploit

In der Nacht des 2. August war Austin Federa mit Freunden beim Abendessen, als Benachrichtigungen über die Slack-Messaging-App eingingen. 

„Ich dachte ‚Oh nein – ich muss gehen‘“ Kissenbezug, erinnerte sich der Kommunikationschef der Solana-Stiftung kürzlich in einem Interview. 

Die Nachricht vom zweiten großen Krypto-Hack innerhalb von zwei Tagen hatte gerade die Runde gemacht, und Federa stand an vorderster Front. Genau 24 Stunden, nachdem das 200-Millionen-Dollar-Nomad-Protokoll in einem „Crowd-Looting“ bloßgelegt wurde, wurden Tausende von Menschen – die überwiegende Mehrheit von ihnen Solana-Benutzer – bei einem Hack aus ihren Brieftaschen gezogen, der Panik in der gesamten Kryptoindustrie auslöste. Solana, eine Kryptowährung Nr. 9 mit einer Marktkapitalisierung von 15.6 Mrd. $, führt eine neue Generation von Hochgeschwindigkeits-Blockchains an, die Ethereum herausfordern.

Vier Angreifer

Als sich die Nachricht verbreitete und die Benutzer Maßnahmen ergriffen, um ihre Vermögenswerte zu schützen, kam der Diebstahl zum Stillstand. Experten gehen von vier Angreifern aus, die eine Schwachstelle in den Krypto-Wallets von Slope Finance ausgenutzt und sich mit einem davon gemacht haben geschätzte 4 Millionen Dollar, Kleingeld nach Industriestandards.

Die Angst, dass Solana oder sein Netzwerk von Partnern kompromittiert worden seien – Theorien, die schnell widerlegt wurden – spornte Federa und seine Kollegen jedoch zu einer Episode des Krisenmanagements an. 

Diese Übung wird immer wichtiger, da die Zahl der Exploits zunimmt und die Integrität von Protokollen zunehmend angegriffen wird. Harmony, eine weitere Layer-1-Blockchain, hat gekämpft um die Auswirkungen eines 100-Millionen-Dollar-Hacks im Juni anzugehen. Kettenübergreifende Brücken wie Nomad – Protokolle, mit denen Benutzer Token zwischen Blockchains senden können – sind akut anfällig für Angriffe. Mehr als 2 Milliarden US-Dollar wurden bei 13 Exploits gestohlen, die meisten davon in diesem Jahr ein Kettenanalysebericht.

Massiver Angriff auf die Lieferkette

„In den frühen Morgenstunden sah es so aus, als würde es sich möglicherweise um einen ziemlich massiven Angriff auf die Lieferkette handeln“, sagte Federa und bemerkte, dass einer der ersten Berichte, die er gehört hatte, von einem Kollegen stammte, dessen Solana- und Ethereum-Brieftaschen leer waren . 

„An diesem Punkt geht der Minderungs- und Untersuchungsprozess über etwas hinaus, wo die Ingenieure der Solana Foundation und der Solana Labs mit Wallet-Anbietern im Solana-Netzwerk zusammenarbeiten“, fuhr er fort, „und wird stattdessen zu etwas, wo man Alarm schlagen und Leute ziehen muss von MetaMask rein, Leute von Coinbase rein.“ 

Laut Berichten von The Defiant handhabte Solana den Exploit mit einer geschickten Berührung. 

Die erste offizielle Antwort von Solana kam am 10. August nach 2 Uhr. 

„Ingenieure aus mehreren Ökosystemen untersuchen mit Hilfe mehrerer Sicherheitsfirmen ausgelaugte Wallets auf Solana. Es gibt keine Beweise dafür, dass Hardware Wallets betroffen sind“, twitterte der Twitter-Account von Solana Status. „Dieser Thread wird aktualisiert, sobald neue Informationen verfügbar sind.“ 

Erik Bernstein, Präsident von Bernstein Crisis Management, sagte, Aspekte von Solanas Reaktion seien lehrbuchhaft. Es gab eine Holding-Erklärung heraus, in der bestätigt wurde, dass es ein Problem gab. Er sagte, das habe ihnen Zeit verschafft, einen Plan auszuarbeiten, um darauf zu reagieren. 

Zu Spitzenzeiten hatte der von der Solana Foundation eingerichtete digitale „Kriegsraum“ fast 130 Personen. Sie wussten, dass das Problem nicht auf Protokollebene lag, da Hardware-Wallets verschont geblieben waren. Aber sie hätten noch große Fragen zu beantworten, sagte Federa. 

Betroffene Geldbörsen

„Achttausend waren sowohl eine große Anzahl als auch eine sehr kleine Anzahl von Benutzern“, sagte er und bezog sich auf die Anzahl der betroffenen Brieftaschen, die seitdem aufgetreten ist hat auf über 9,000. „Und die Frage war im Grunde, war diese Schwachstelle massiv und kettenübergreifend und wurde noch nicht ausgenutzt und die Angreifer waren einfach böse?“ 

Während die Forscher daran arbeiteten, herauszufinden, was passiert war, kamen Updates von einer Vielzahl von Accounts auf Twitter, einige scheinbar „offiziell“, andere nicht: von Federa; von Hang; von Phantom, einem konkurrierenden Wallet, dessen Benutzer ebenfalls betroffen waren; von Solana-Mitbegründer Anatoly Yakovenko; von Sicherheitsforschern im oben erwähnten „Kriegsraum“; von zufälligen Kryptospürhunden. 

Betroffene Benutzer wurden gebeten, an einer Online-Umfrage teilzunehmen, die den Forschern helfen würde, die Schwachstelle zu finden und zu patchen. Alle anderen wurden ermutigt, ihr Vermögen in eine Hardware-Wallet zu verschieben.  

Bernstein lobte die relevanten Organisationen dafür, dass sie Twitter nutzen, um ihr „technisch versiertes, sehr digital geprägtes“ Publikum auf dem Laufenden zu halten. Aber der Chor der Stimmen „ist nichts, wozu wir einem Kunden jemals raten“. 

Gotcha-Moment

„Ich sage Ihnen, es ist großartig, wenn Sie das durchziehen können, denn alle wirken sehr geschlossen, und es lässt Sie wirklich so aussehen, als würden Sie so viele Informationen wie möglich teilen“, sagte Bernstein. „Aber es macht mir Angst. … Es gibt viele Gelegenheiten für Menschen, einen Moment zu erleben, von dem sie denken, dass es ein Fallstrick ist, weil eine Person etwas anders dargestellt hat als eine andere oder unschuldig einen Fehler gemacht hat.“

Federa sagte, der Instinkt, die gesamte Kommunikation über einen einzigen Sprecher zu leiten, sei ein „Web2-Unternehmensansatz“. 

„Solana ist kein Unternehmen. Es ist ein dezentralisiertes, von der Community betriebenes Open-Source-Softwareprojekt. Es gibt also keine Autorität mehr, die Anatoly oder ich oder eine der Wirtschaftsprüfungsgesellschaften im Vergleich zu irgendjemand anderem hatten“, sagte er. „Es gibt viele Informationen von anderen Sicherheitsforschern auf Twitter, die die Gruppe erfahren hat, indem sie sie auf Twitter gesehen haben. Und wenn es eine Kultur gegeben hätte, die das nicht teilte und auf … eine offizielle Antwort wartete, hätte das die Dinge tatsächlich viel langsamer gemacht und es hätte es potenziell schwieriger gemacht, den wahren begrenzten Umfang der Verwundbarkeit festzustellen.“ 

Keine Schwachstellen

Obwohl mehrere Solana-Wallet-Anbieter betroffen waren, glauben Experten nun, dass das Problem mit Slope begann. In einer Erklärung dieser Woche sagte Phantom, eine Untersuchung habe „keine Schwachstellen gefunden, die diesen Benutzer-Exploit erklären könnten“.

„Privates Schlüsselmaterial dieser Slope-Benutzer wurde versehentlich von der Slope-App an einen Anwendungsüberwachungsdienst übertragen“, sagte Solana am Montag in einer Pressemitteilung, „aber genau, wie der Hacker diese Informationen erhalten oder abgefangen hat, wird noch untersucht.“

On-Chain-Aktivität

Slope sagte unterdessen am Montag, es nähere sich dem Ende seiner „internen Audit-Untersuchungen“. Und TRM Lab, das von Slope beauftragt wurde, die Aktivitäten der Angreifer in der Kette zu verfolgen, „verfolgte mehrere Hinweise“. Schließlich stand das Unternehmen in täglicher Kommunikation mit den US-Bundesstrafverfolgungsbehörden. 

„Basierend auf diesen Diskussionen“, sagte Slope, „bleiben wir hoffnungsvoll.“

Federa sagte, jede Krise sei anders. Trotzdem versucht er, einem einfachen Spielbuch zu folgen. 

„Das Wichtigste ist, nichts zu kommunizieren, von dem man nicht weiß, dass es wahr ist, und die Leute auf dem Laufenden zu halten“, sagte er. „Auch wenn ein Update lautet: ‚Wir haben nichts zu teilen – noch nicht.'“

Korrektur: Aktualisiert, um das Datum im ersten Absatz vom 2. August auf den 7. August zu korrigieren.