All'interno della risposta del "Libro di testo" di Solana a Exploit

La notte del 2 agosto, Austin Federa era a cena con gli amici quando le notifiche hanno iniziato ad arrivare attraverso l'app di messaggistica Slack. 

"Ero tipo 'Oh, no, devo andare'" federazione, ha ricordato il capo della comunicazione della Fondazione Solana in una recente intervista. 

La notizia del secondo importante attacco crittografico in due giorni era appena arrivata e Federa era in prima linea. Esattamente 24 ore dopo che il protocollo Nomad da 200 milioni di dollari è stato messo a nudo in un "saccheggio della folla", migliaia di persone - la stragrande maggioranza degli utenti Solana - hanno svuotato i loro portafogli in un hack che ha scatenato il panico nell'intero settore delle criptovalute. Solana, una criptovaluta n. 9 con una capitalizzazione di mercato di $ 15.6 miliardi, sta guidando una nuova generazione di blockchain ad alta velocità che sfidano Ethereum.

Quattro attaccanti

Mentre la voce si diffondeva e gli utenti adottavano misure per proteggere i propri beni, il furto si fermò. Gli esperti ritengono che ci siano stati quattro aggressori, che hanno sfruttato una vulnerabilità nei portafogli crittografici di Slope Finance e sono scappati con un stimato $ 4 milioni, spiccioli secondo gli standard del settore.

Tuttavia, il timore che Solana o la sua rete di partner fossero state compromesse - teorie che sono state rapidamente sfatate - ha spinto Federa e le sue controparti a un episodio di gestione della crisi. 

È un esercizio che sta diventando importante man mano che il numero di exploit aumenta e l'integrità dei protocolli è sempre più sotto attacco. Harmony, un'altra blockchain di livello 1, ha faticato per affrontare l'impatto di un hack da 100 milioni di dollari a giugno. I bridge cross-chain come Nomad, protocolli che consentono agli utenti di inviare token tra blockchain, sono estremamente vulnerabili agli attacchi. Più di $ 2 miliardi sono stati rubati in 13 exploit, la maggior parte quest'anno, secondo un rapporto di analisi della catena.

Attacco massiccio alla catena di approvvigionamento

"Nelle prime ore di questo, sembrava che fosse potenzialmente un attacco alla catena di approvvigionamento piuttosto massiccio", ha detto Federa, notando che uno dei primi rapporti che aveva sentito riguardava un collega a cui erano stati prosciugati i portafogli di Solana ed Ethereum . 

"A quel punto, il processo di mitigazione e indagine si sposta oltre qualcosa in cui gli ingegneri della Solana Foundation e dei Solana Labs stanno lavorando con i fornitori di portafogli sulla rete Solana", ha continuato, "e invece diventa qualcosa in cui devi dare l'allarme e attirare la gente da MetaMask in, gente da Coinbase in." 

Secondo quanto riportato da The Defiant, Solana ha gestito l'exploit con un tocco abile. 

La prima risposta ufficiale di Solana è arrivata dopo le 10:2 del XNUMX agosto. 

“Gli ingegneri di più ecosistemi, con l'aiuto di diverse società di sicurezza, stanno indagando sui portafogli prosciugati su Solana. Non ci sono prove che i portafogli hardware siano interessati", ha twittato l'account Twitter di Solana Status. "Questo thread verrà aggiornato non appena saranno disponibili nuove informazioni." 

Erik Bernstein, presidente di Bernstein Crisis Management, ha affermato che gli aspetti della risposta di Solana erano da manuale. Ha rilasciato una dichiarazione di partecipazione in cui riconosceva che c'era un problema. Ha detto che ciò ha fatto guadagnare loro il tempo di elaborare un piano per rispondere. 

Al suo apice, la "stanza della guerra" digitale creata dalla Fondazione Solana contava quasi 130 persone. Sapevano che il problema non era a livello di protocollo, poiché i portafogli hardware erano stati risparmiati. Ma avevano ancora enormi domande a cui rispondere, ha detto Federa. 

Portafogli interessati

"Ottomila erano sia un numero elevato che un numero molto ridotto di utenti", ha affermato, riferendosi al numero di portafogli interessati, che da allora è aumentato a più di 9,000. "E la domanda era fondamentalmente: questa vulnerabilità era massiccia e a catena incrociata e non era stata ancora sfruttata e gli aggressori erano semplicemente cattivi?" 

Mentre i ricercatori lavoravano per scoprire cosa fosse successo, gli aggiornamenti provenivano da una varietà di account su Twitter, alcuni apparentemente "ufficiali", altri no: da Federa; dal pendio; da Phantom, un portafoglio concorrente i cui utenti erano stati colpiti anche; dal co-fondatore di Solana Anatoly Yakovenko; dai ricercatori della sicurezza nella suddetta “stanza della guerra”; da investigatori crittografici casuali. 

Agli utenti interessati è stato chiesto di completare un sondaggio online che avrebbe aiutato i ricercatori a trovare e correggere la vulnerabilità. Tutti gli altri sono stati incoraggiati a trasferire le proprie risorse su un portafoglio hardware.  

Bernstein ha applaudito le organizzazioni competenti per aver utilizzato Twitter per tenere informato il loro pubblico "esperto di tecnologia, molto nativo del digitale". Ma il coro di voci "non è qualcosa che consigliamo mai a un cliente di fare". 

Momento Gotcha

"Ti dico che è fantastico se riesci a farcela perché tutti sembrano molto coesi e ti fa sembrare davvero che tu stia condividendo quante più informazioni possibili", ha detto Bernstein. “Ma mi dà ansia. ... Ci sono molte opportunità per le persone di avere quello che pensano sia un momento difficile perché una persona ha inquadrato qualcosa in modo diverso da un'altra o ha commesso innocentemente un errore.

Federa ha affermato che l'istinto di instradare tutte le comunicazioni attraverso un unico portavoce è stato un "approccio aziendale Web2". 

“Solana non è un'azienda. È un progetto software decentralizzato, open source, gestito dalla comunità. Quindi non c'è più autorità che Anatoly, me o una delle società di revisione avevamo rispetto a chiunque altro", ha detto. “Ci sono molte informazioni di altri ricercatori di sicurezza su Twitter che il gruppo ha appreso vedendole su Twitter. E se ci fosse stata una sorta di cultura del non condividerlo e dell'attesa di... una risposta ufficiale, avrebbe effettivamente rallentato le cose e avrebbe reso potenzialmente più difficile accertare la reale portata limitata della vulnerabilità". 

Nessuna vulnerabilità

Sebbene diversi fornitori di portafogli Solana siano stati interessati, gli esperti ora ritengono che il problema sia iniziato con Slope. In una dichiarazione di questa settimana, Phantom ha affermato che un'indagine "non ha trovato vulnerabilità che potrebbero spiegare questo exploit dell'utente".

"Il materiale chiave privato di questi utenti di Slope è stato inavvertitamente trasmesso dall'app Slope a un servizio di monitoraggio delle applicazioni", ha detto Solana in un comunicato stampa lunedì, "ma esattamente come l'hacker ha ottenuto o intercettato queste informazioni è ancora oggetto di indagine".

Attività in catena

Slope, nel frattempo, ha dichiarato lunedì che si stava avvicinando alla fine delle sue "indagini di audit interno". E TRM Lab, assunto da Slope per tenere traccia dell'attività sulla catena degli aggressori, stava "perseguendo molteplici piste". Infine, la società era in comunicazione quotidiana con le forze dell'ordine federali statunitensi. 

"Sulla base di queste discussioni", ha detto Slope, "rimaniamo fiduciosi".

Federa ha detto che ogni crisi è diversa. Tuttavia, cerca di seguire un semplice playbook. 

"La cosa principale è non comunicare ciò che non sai essere vero e mantenere le persone aggiornate", ha detto. "Anche se un aggiornamento è, 'Non abbiamo niente da condividere, ancora.'"

Correzione: Aggiornato alla data corretta nel primo paragrafo al 2 agosto dal 7 agosto.