सोलाना की 'पाठ्यपुस्तक' के अंदर शोषण के प्रति प्रतिक्रिया

2 अगस्त की रात को, ऑस्टिन फेडेरा दोस्तों के साथ डिनर पर थे, जब स्लैक मैसेजिंग ऐप के माध्यम से सूचनाएं आने लगीं। 

"मैं ऐसा था 'ओह, नहीं - मुझे जाना है,'" फेडेरा, सोलाना फाउंडेशन के संचार प्रमुख ने हाल ही में एक साक्षात्कार में याद किया। 

दो दिनों में दूसरी बड़ी क्रिप्टो हैक की खबर अभी सामने आई थी, और फेडेरा अग्रिम पंक्ति में था। $24M घुमंतू प्रोटोकॉल को "भीड़-लूट" में नंगे होने के ठीक 200 घंटे बाद, हजारों लोगों - जिनमें से अधिकांश सोलाना उपयोगकर्ता थे - ने अपने बटुए को एक हैक में बहा दिया था जिसने पूरे क्रिप्टो उद्योग में दहशत फैला दी थी। सोलाना, 9 अरब डॉलर के मार्केट कैप के साथ नंबर 15.6 क्रिप्टोकुरेंसी, एथेरियम को चुनौती देने वाले हाई-स्पीड ब्लॉकचैन की एक नई पीढ़ी का नेतृत्व कर रहा है।

चार हमलावर

जैसे ही बात फैली और उपयोगकर्ताओं ने अपनी संपत्ति की सुरक्षा के लिए उपाय किए, चोरी का मैदान रुक गया। विशेषज्ञों का मानना ​​​​है कि चार हमलावर थे, जिन्होंने स्लोप फाइनेंस के क्रिप्टो वॉलेट में भेद्यता का फायदा उठाया और एक अनुमानित $4M, उद्योग मानकों द्वारा जेब परिवर्तन।

फिर भी, डर है कि सोलाना या उसके भागीदारों के नेटवर्क से समझौता किया गया था - सिद्धांत जिन्हें जल्दी से खारिज कर दिया गया था - संकट प्रबंधन के एक प्रकरण में फेडेरा और उनके समकक्षों को प्रेरित किया। 

यह एक ऐसा अभ्यास है जो महत्वपूर्ण होता जा रहा है क्योंकि कारनामों की संख्या बढ़ती जा रही है और प्रोटोकॉल की अखंडता पर हमले हो रहे हैं। सद्भाव, एक और परत 1 ब्लॉकचेन, संघर्ष किया है जून में $ 100M हैक के प्रभाव को संबोधित करने के लिए। घुमंतू जैसे क्रॉस-चेन ब्रिज - प्रोटोकॉल जो उपयोगकर्ताओं को ब्लॉकचेन के बीच टोकन भेजने देते हैं - हमलों के लिए अत्यधिक असुरक्षित हैं। 2 कारनामों में $13B से अधिक की चोरी हुई है, इस वर्ष सबसे अधिक, के अनुसार एक चैनालिसिस रिपोर्ट।

भारी आपूर्ति श्रृंखला हमला

"इस के शुरुआती घंटों में, ऐसा लग रहा था कि यह संभावित रूप से एक बहुत बड़े आपूर्ति श्रृंखला हमला था," फेडेरा ने कहा, यह देखते हुए कि उन्होंने जो पहली रिपोर्ट सुनी थी, वह एक सहकर्मी की थी, जिसने अपने सोलाना और एथेरियम वॉलेट को सूखा दिया था। . 

"उस समय, शमन और जांच प्रक्रिया उस चीज़ से आगे बढ़ती है जहां सोलाना फाउंडेशन और सोलाना लैब्स इंजीनियर सोलाना नेटवर्क पर वॉलेट प्रदाताओं के साथ काम कर रहे हैं," उन्होंने आगे कहा, "और इसके बजाय कुछ ऐसा हो जाता है जहां आपको अलार्म बजाना और लोगों को खींचना पड़ता है। मेटामास्क से, कॉइनबेस के लोग।" 

द डिफेंट की रिपोर्ट के अनुसार, सोलाना ने चतुराई से इस कारनामे को संभाला। 

सोलाना की ओर से पहली आधिकारिक प्रतिक्रिया 10 अगस्त रात 2 बजे के बाद आई। 

"कई सुरक्षा फर्मों की मदद से कई पारिस्थितिक तंत्र के इंजीनियर, सोलाना पर ड्रेन वॉलेट की जांच कर रहे हैं। इस बात का कोई सबूत नहीं है कि हार्डवेयर वॉलेट प्रभावित हुए हैं, ”सोलाना स्टेटस ट्विटर अकाउंट ने ट्वीट किया। "नई जानकारी उपलब्ध होते ही इस थ्रेड को अपडेट कर दिया जाएगा।" 

बर्नस्टीन क्राइसिस मैनेजमेंट के अध्यक्ष एरिक बर्नस्टीन ने कहा कि सोलाना की प्रतिक्रिया के पहलू पाठ्यपुस्तक थे। इसने एक समस्या को स्वीकार करते हुए एक होल्डिंग स्टेटमेंट दिया। उन्होंने कहा कि उन्हें जवाब देने की योजना बनाने के लिए समय मिला। 

अपने चरम पर, सोलाना फाउंडेशन द्वारा स्थापित डिजिटल "वॉर रूम" में लगभग 130 लोग थे। वे जानते थे कि समस्या प्रोटोकॉल स्तर पर नहीं थी, क्योंकि हार्डवेयर वॉलेट को बख्शा गया था। लेकिन उनके पास अभी भी जवाब देने के लिए बहुत बड़े सवाल थे, फेडेरा ने कहा। 

प्रभावित वॉलेट

"आठ हजार बड़ी संख्या में थे और उपयोगकर्ताओं की एक बहुत छोटी संख्या," उन्होंने प्रभावित पर्स की संख्या का जिक्र करते हुए कहा, जो तब से है वृद्धि हुई 9,000 से अधिक तक। "और सवाल मूल रूप से था, क्या यह भेद्यता-सेट बड़े पैमाने पर और क्रॉस-चेन थी और अभी तक इसका शोषण नहीं किया गया था और हमलावर सिर्फ बुरे थे?" 

जैसा कि शोधकर्ताओं ने यह पता लगाने के लिए काम किया कि क्या हुआ था, ट्विटर पर विभिन्न खातों से अपडेट आए, कुछ "आधिकारिक" प्रतीत होते हैं, कुछ नहीं: फेडेरा से; ढलान से; फैंटम से, एक प्रतिस्पर्धी वॉलेट जिसके उपयोगकर्ता भी प्रभावित हुए थे; सोलाना के सह-संस्थापक अनातोली याकोवेंको से; उपरोक्त "वॉर रूम" में सुरक्षा शोधकर्ताओं से; यादृच्छिक क्रिप्टो जासूसों से। 

प्रभावित उपयोगकर्ताओं को एक ऑनलाइन सर्वेक्षण पूरा करने के लिए कहा गया जो शोधकर्ताओं को भेद्यता को खोजने और पैच करने में मदद करेगा। बाकी सभी को अपनी संपत्ति को हार्डवेयर वॉलेट में स्थानांतरित करने के लिए प्रोत्साहित किया गया।  

बर्नस्टीन ने अपने "तकनीक-प्रेमी, बहुत डिजिटल रूप से देशी" दर्शकों को सूचित रखने के लिए ट्विटर का उपयोग करने के लिए संबंधित संगठनों की सराहना की। लेकिन आवाजों का कोरस "ऐसा कुछ नहीं है जिसे हम कभी भी एक ग्राहक को करने की सलाह देते हैं।" 

गोचा मोमेंट

"मैं आपको बताता हूं, यह बहुत अच्छा है अगर आप इसे खींच सकते हैं क्योंकि हर कोई बहुत एकजुट दिखता है, और यह वास्तव में आपको लगता है कि आप जितना संभव हो उतना अधिक जानकारी साझा कर रहे हैं," बर्नस्टीन ने कहा। "लेकिन यह मुझे चिंता देता है। ... लोगों के लिए बहुत सारे अवसर हैं जो वे सोचते हैं कि यह एक गॉचा पल है क्योंकि एक व्यक्ति ने दूसरे की तुलना में कुछ अलग तरीके से फ्रेम किया है या निर्दोष रूप से गलती की है।

फेडेरा ने कहा कि एक प्रवक्ता के माध्यम से सभी संचार को रूट करने की प्रवृत्ति "वेब 2 कंपनी दृष्टिकोण" थी। 

“सोलाना कोई कंपनी नहीं है। यह एक विकेन्द्रीकृत, खुला स्रोत, समुदाय द्वारा संचालित सॉफ्टवेयर प्रोजेक्ट है। इसलिए अब कोई अधिकार नहीं है कि अनातोली या मैं या ऑडिट फर्मों में से किसी ने किसी और की तुलना की थी, "उन्होंने कहा। "ट्विटर पर अन्य सुरक्षा शोधकर्ताओं से बहुत सी जानकारी है कि समूह ने उन्हें ट्विटर पर देखकर सीखा। और अगर इसे साझा न करने और … आधिकारिक प्रतिक्रिया की प्रतीक्षा करने की संस्कृति होती, तो यह वास्तव में चीजों को बहुत धीमा कर देता और इससे भेद्यता के वास्तविक सीमित दायरे का पता लगाना संभावित रूप से कठिन हो जाता। ” 

कोई भेद्यता नहीं

हालांकि कई सोलाना वॉलेट प्रदाता प्रभावित हुए थे, अब विशेषज्ञों का मानना ​​है कि समस्या की शुरुआत स्लोप से हुई थी। इस हफ्ते एक बयान में, फैंटम ने कहा कि एक जांच में "कोई कमजोरियां नहीं मिलीं जो इस उपयोगकर्ता के शोषण की व्याख्या कर सकें।"

सोलाना ने सोमवार को एक समाचार विज्ञप्ति में कहा, "इन स्लोप उपयोगकर्ताओं से निजी कुंजी सामग्री अनजाने में स्लोप ऐप द्वारा एक एप्लिकेशन मॉनिटरिंग सेवा में प्रेषित की गई थी," लेकिन वास्तव में हैकर ने इस जानकारी को कैसे प्राप्त या इंटरसेप्ट किया, यह अभी भी जांच के दायरे में है।

ऑन-चेन गतिविधि

इस बीच, स्लोप ने सोमवार को कहा कि यह अपनी "आंतरिक ऑडिट जांच" के अंत के करीब है। और टीआरएम लैब, जिसे स्लोप द्वारा हमलावरों की ऑन-चेन गतिविधि को ट्रैक करने के लिए काम पर रखा गया था, "कई लीड का पीछा कर रही थी।" अंत में, कंपनी अमेरिकी संघीय कानून प्रवर्तन के साथ दैनिक संचार में थी। 

"इन चर्चाओं के आधार पर," स्लोप ने कहा, "हम आशान्वित रहते हैं।"

फेडेरा ने कहा कि हर संकट अलग होता है। फिर भी, वह एक साधारण प्लेबुक का पालन करने की कोशिश करता है। 

"मुख्य बात यह है कि आप जो नहीं जानते हैं उसे सच नहीं बताना और लोगों को अपडेट रखना है," उन्होंने कहा। "यहां तक ​​​​कि अगर कोई अपडेट है, 'हमारे पास साझा करने के लिए कुछ भी नहीं है - अभी तक।'"

भूल सुधार: अगस्त 2 से अगस्त 7 तक पहले पैराग्राफ में सही तारीख को अपडेट किया गया।