À l'intérieur de la réponse "manuel" de Solana à Exploit

Dans la nuit du 2 août, Austin Federa était en train de dîner avec des amis lorsque des notifications ont commencé à affluer via l'application de messagerie Slack. 

"Je me suis dit 'Oh, non, je dois y aller'" Taie d'oreiller, a rappelé le chef de la communication de la Fondation Solana dans une récente interview. 

La nouvelle du deuxième piratage crypto majeur en deux jours venait d’éclater et Federa était en première ligne. Exactement 24 heures après que le protocole Nomad, d'une valeur de 200 millions de dollars, ait été mis à nu lors d'un « pillage collectif », des milliers de personnes – dont la grande majorité étaient des utilisateurs de Solana – ont vu leur portefeuille vidé lors d'un piratage qui a semé la panique dans l'ensemble de l'industrie de la cryptographie. Solana, la crypto-monnaie n°9 avec une capitalisation boursière de 15.6 milliards de dollars, est à la tête d'une nouvelle génération de blockchains à haut débit défiant Ethereum.

Quatre attaquants

Au fur et à mesure que la nouvelle se répandait et que les utilisateurs prenaient des mesures pour protéger leurs actifs, le vol a pris fin. Les experts estiment que quatre attaquants ont exploité une vulnérabilité dans les portefeuilles cryptographiques de Slope Finance et se sont enfuis avec un estimé à 4 millions de dollars, monnaie de poche selon les normes de l'industrie.

Néanmoins, la crainte que Solana ou son réseau de partenaires aient été compromis – théories qui ont été rapidement démystifiées – a poussé Federa et ses homologues à se lancer dans un épisode de gestion de crise. 

C’est un exercice qui devient important à mesure que le nombre d’exploits augmente et que l’intégrité des protocoles est de plus en plus attaquée. Harmony, une autre blockchain de couche 1, a lutté pour faire face à l'impact d'un piratage de 100 millions de dollars en juin. Les ponts inter-chaînes tels que Nomad – des protocoles qui permettent aux utilisateurs d'envoyer des jetons entre blockchains – sont extrêmement vulnérables aux attaques. Plus de 2 milliards de dollars ont été volés dans 13 exploits, la plupart cette année, selon un rapport d'analyse de chaîne.

Attaque massive de la chaîne d’approvisionnement

"Dans les premières heures, il semblait qu'il s'agissait potentiellement d'une attaque assez massive de la chaîne d'approvisionnement", a déclaré Federa, notant que l'un des premiers rapports qu'il avait entendu concernait un collègue dont les portefeuilles Solana et Ethereum avaient été vidés. . 

"À ce stade, le processus d'atténuation et d'enquête va au-delà de quelque chose où les ingénieurs de la Fondation Solana et de Solana Labs travaillent avec des fournisseurs de portefeuilles sur le réseau Solana", a-t-il poursuivi, "et devient plutôt quelque chose où vous devez tirer la sonnette d'alarme et attirer les gens. de MetaMask, des gens de Coinbase. 

Selon le rapport de The Defiant, Solana a géré l'exploit avec une touche habile. 

La première réponse officielle de Solana est intervenue après 10 heures. 2 août. 

« Des ingénieurs de plusieurs écosystèmes, avec l'aide de plusieurs sociétés de sécurité, enquêtent sur les portefeuilles épuisés sur Solana. Il n’y a aucune preuve que les portefeuilles matériels soient affectés », a tweeté le compte Twitter Solana Status. "Ce fil sera mis à jour à mesure que de nouvelles informations seront disponibles." 

Erik Bernstein, président de Bernstein Crisis Management, a déclaré que certains aspects de la réponse de Solana étaient des manuels. Il a publié une déclaration provisoire reconnaissant l'existence d'un problème. Il a dit que cela leur avait permis de gagner du temps pour élaborer un plan de réponse. 

À son apogée, la « salle de guerre » numérique mise en place par la Fondation Solana comptait près de 130 personnes. Ils savaient que le problème n’était pas au niveau du protocole, car les portefeuilles matériels avaient été épargnés. Mais ils avaient encore d’énormes questions à répondre, a déclaré Federa. 

Portefeuilles concernés

"Huit mille, cela représente à la fois un grand nombre et un très petit nombre d'utilisateurs", a-t-il déclaré, faisant référence au nombre de portefeuilles concernés, qui a depuis lors augmenté. increased à plus de 9,000 XNUMX. « Et la question était essentiellement : cet ensemble de vulnérabilités était-il massif et inter-chaînes et n'avait-il pas encore été exploité et les attaquants étaient-ils tout simplement mauvais ? » 

Alors que les chercheurs cherchaient à découvrir ce qui s'était passé, des mises à jour provenaient de divers comptes sur Twitter, certains apparemment « officiels », d'autres non : de Federa ; de la pente ; de Phantom, un portefeuille concurrent dont les utilisateurs avaient également été concernés ; du co-fondateur de Solana, Anatoly Yakovenko ; des chercheurs en sécurité de la « salle de guerre » susmentionnée ; provenant de détectives cryptographiques aléatoires. 

Les utilisateurs concernés ont été invités à répondre à une enquête en ligne qui aiderait les chercheurs à trouver et à corriger la vulnérabilité. Tous les autres ont été encouragés à déplacer leurs actifs vers un portefeuille matériel.  

Bernstein a félicité les organisations concernées pour avoir utilisé Twitter pour tenir informé leur public « féru de technologie et très natif du numérique ». Mais le chœur de voix « n’est jamais quelque chose que nous conseillons à un client de faire ». 

Je t'ai eu un moment

"Je vous le dis, c'est génial si vous pouvez y parvenir parce que tout le monde a l'air très cohérent, et cela vous donne vraiment l'impression que vous partagez autant d'informations que possible", a déclaré Bernstein. «Mais cela me donne de l'anxiété. … Il existe de nombreuses opportunités pour les gens de vivre ce qu’ils pensent être un moment de piège parce qu’une personne a formulé quelque chose différemment d’une autre ou a commis une erreur innocemment.

Federa a déclaré que l’instinct d’acheminer toutes les communications via un seul porte-parole était une « approche d’entreprise Web2 ». 

« Solana n'est pas une entreprise. Il s’agit d’un projet logiciel décentralisé, open source et géré par la communauté. Il n’y a donc pas plus d’autorité qu’Anatoly, moi-même ou l’un des cabinets d’audit n’avions par rapport à quiconque », a-t-il déclaré. « Il y a beaucoup d’informations provenant d’autres chercheurs en sécurité sur Twitter que le groupe a apprises en les voyant sur Twitter. Et s’il y avait une culture qui consiste à ne pas partager cela et à attendre… une réponse officielle, cela aurait en fait rendu les choses beaucoup plus lentes et cela aurait rendu potentiellement plus difficile la détermination de la véritable portée limitée de la vulnérabilité. 

Aucune vulnérabilité

Bien que plusieurs fournisseurs de portefeuilles Solana aient été concernés, les experts pensent désormais que le problème a commencé avec Slope. Dans un communiqué publié cette semaine, Phantom a déclaré qu'une enquête n'avait « trouvé aucune vulnérabilité pouvant expliquer cet exploit utilisateur ».

"Les clés privées de ces utilisateurs de Slope ont été transmises par inadvertance par l'application Slope à un service de surveillance des applications", a déclaré Solana dans un communiqué de presse lundi, "mais la manière exacte dont le pirate informatique a obtenu ou intercepté ces informations fait toujours l'objet d'une enquête."

Activité en chaîne

Slope, quant à lui, a déclaré lundi qu'il approchait de la fin de ses « enquêtes d'audit interne ». Et TRM Lab, embauché par Slope pour suivre l’activité en chaîne des attaquants, « poursuivait plusieurs pistes ». Enfin, l’entreprise était en communication quotidienne avec les forces de l’ordre fédérales américaines. 

"Sur la base de ces discussions", a déclaré Slope, "nous gardons espoir".

Federa a déclaré que chaque crise est différente. Néanmoins, il essaie de suivre un guide simple. 

« L’essentiel est de ne pas communiquer ce que vous ne savez pas être vrai et de tenir les gens informés », a-t-il déclaré. « Même si une mise à jour dit : « Nous n’avons rien à partager pour l’instant ».

Correction: Mis à jour pour corriger la date dans le premier paragraphe du 2 août au lieu du 7 août.