Inne i Solanas 'Textbook' Response to Exploit

Natt til 2. august var Austin Federa til middag med venner da varslinger begynte å strømme inn gjennom meldingsappen Slack. 

«Jeg var sånn «Å, nei – jeg må gå»» Putetrekk, minnet Solana Foundations kommunikasjonssjef i et nylig intervju. 

Nyheten om det andre store kryptohacket på to dager hadde nettopp gått ut, og Federa var i frontlinjen. Nøyaktig 24 timer etter at Nomad-protokollen på 200 millioner dollar ble fjernet i et «publikum», fikk tusenvis av mennesker – de aller fleste av dem Solana-brukere – lommeboken tappet i et hack som utløste panikk over hele kryptoindustrien. Solana, en kryptovaluta nr. 9 med en markedsverdi på 15.6 milliarder dollar, leder en ny generasjon høyhastighets blokkjeder som utfordrer Ethereum.

Fire angripere

Etter hvert som ordet spredte seg og brukerne iverksatte tiltak for å beskytte sine eiendeler, stoppet røveriet opp. Eksperter mener det var fire angripere som utnyttet en sårbarhet i Slope Finances kryptolommebøker og kom seg avgårde med en estimert $4 millioner, lommeskifte etter industristandarder.

Ikke desto mindre, frykt for at Solana eller dets nettverk av partnere var blitt kompromittert – teorier som raskt ble avkreftet – ansporet Federa og hans kolleger til en episode med krisehåndtering. 

Det er en øvelse som blir viktig etter hvert som antallet utnyttelser øker og integriteten til protokoller blir stadig mer utsatt for angrep. Harmony, en annen Layer 1 blockchain, har slitt for å adressere virkningen av et hack på 100 millioner dollar i juni. Tverrkjedebroer som Nomad – protokoller som lar brukere sende tokens mellom blokkjeder – er akutt sårbare for angrep. Mer enn $2B har blitt stjålet i 13 bedrifter, de fleste i år, ifølge en kjedeanalyserapport.

Massivt forsyningskjedeangrep

«I de tidlige timene av dette så det ut som om det potensielt var et ganske massivt forsyningskjedeangrep,» sa Federa og la merke til at en av de første rapportene han hadde hørt var om en kollega som hadde tømt Solana- og Ethereum-lommebøkene sine. . 

"På det tidspunktet beveger avbøtnings- og etterforskningsprosessen seg fra noe der Solana Foundation og Solana Labs ingeniører jobber med lommebokleverandører på Solana-nettverket," fortsatte han, "og blir i stedet noe der du må slå alarm og trekke folk. fra MetaMask inn, folk fra Coinbase inn.» 

I følge rapportering fra The Defiant, håndterte Solana utnyttelsen med en behendig touch. 

Det første offisielle svaret fra Solana kom etter klokken 10. 2. august. 

"Ingeniører fra flere økosystemer, med hjelp fra flere sikkerhetsfirmaer, undersøker drenerte lommebøker på Solana. Det er ingen bevis på at maskinvare-lommebøker er påvirket, tvitret Solana Status Twitter-kontoen. "Denne tråden vil bli oppdatert etter hvert som ny informasjon blir tilgjengelig." 

Erik Bernstein, president i Bernstein Crisis Management, sa at aspekter av Solanas svar var lærebok. Den la ut en holdeerklæring som bekreftet at det var et problem. Han sa at det ga dem tid til å utarbeide en plan for å svare. 

På det meste hadde det digitale «krigsrommet» Solana-stiftelsen opprettet nesten 130 personer. De visste at problemet ikke var på protokollnivå, siden maskinvarelommebøker hadde blitt spart. Men de hadde fortsatt store spørsmål å svare på, sa Federa. 

Berørte lommebøker

"Åtte tusen var både et stort antall og et veldig lite antall brukere," sa han, med henvisning til antallet berørte lommebøker, som har siden økt til mer enn 9,000. "Og spørsmålet var i utgangspunktet, var dette sårbarhetssettet massivt og krysskjedet og ikke blitt utnyttet ennå, og angriperne var bare dårlige?" 

Mens forskere jobbet for å finne ut hva som hadde skjedd, kom oppdateringer fra en rekke kontoer på Twitter, noen tilsynelatende «offisielle», andre ikke: fra Federa; fra Slope; fra Phantom, en konkurrerende lommebok hvis brukere også hadde blitt berørt; fra Solanas medgründer Anatoly Yakovenko; fra sikkerhetsforskere i det nevnte «krigsrommet»; fra tilfeldige kryptosøkere. 

Berørte brukere ble bedt om å fullføre en nettbasert spørreundersøkelse som ville hjelpe forskere med å finne og lappe sikkerhetsproblemet. Alle andre ble oppfordret til å flytte eiendelene sine til en maskinvarelommebok.  

Bernstein applauderte de relevante organisasjonene for å bruke Twitter for å holde deres "teknologikyndige, veldig digitalt innfødte" publikum informert. Men koret av stemmer "er ikke noe vi noen gang anbefaler en klient å gjøre." 

Gotcha Moment

"Jeg sier deg, det er flott hvis du kan klare det fordi alle ser veldig samkjørte ut, og det får deg virkelig til å se ut som om du deler så mye informasjon som mulig," sa Bernstein. "Men det gir meg angst. … Det er mange muligheter for folk til å ha det de tror er et gotcha-øyeblikk fordi en person har innrammet noe annerledes enn en annen eller uskyldig gjort en feil.»

Federa sa at instinktet for å rute all kommunikasjon gjennom en enkelt talsperson var en "Web2-selskapstilnærming." 

«Solana er ikke et selskap. Det er et desentralisert, åpen kildekode, fellesskapsdrevet programvareprosjekt. Så det er ikke mer autoritet som Anatoly eller meg selv eller et av revisjonsfirmaene hadde sammenlignet med noen andre, sa han. "Det er mye informasjon fra andre sikkerhetsforskere på Twitter som gruppen har lært ved å se dem på Twitter. Og hvis det var en kultur for å ikke dele det og vente på ... et offisielt svar, ville det faktisk ha gjort ting mye tregere, og det ville ha gjort det potensielt vanskeligere å fastslå det sanne begrensede omfanget av sårbarhet." 

Ingen sårbarheter

Selv om flere Solana lommebokleverandører ble berørt, tror eksperter nå at problemet startet med Slope. I en uttalelse denne uken sa Phantom at en etterforskning ikke hadde funnet noen sårbarheter som kunne forklare denne brukerutnyttelsen.

"Privat nøkkelmateriale fra disse Slope-brukerne ble utilsiktet overført av Slope-appen til en applikasjonsovervåkingstjeneste," sa Solana i en pressemelding mandag, "men nøyaktig hvordan hackeren skaffet eller fanget opp denne informasjonen er fortsatt under etterforskning."

Aktivitet i kjeden

I mellomtiden sa Slope mandag at det nærmet seg slutten av sine «internrevisjonsundersøkelser». Og TRM Lab, som er ansatt av Slope for å spore angripernes aktivitet i kjeden, "forfulgte flere potensielle kunder." Til slutt var selskapet i daglig kommunikasjon med amerikansk føderal rettshåndhevelse. 

"Basert på disse diskusjonene," sa Slope, "forblir vi håpefulle."

Federa sa at hver krise er annerledes. Likevel prøver han å følge en enkel lekebok. 

"Det viktigste er å ikke kommunisere det du ikke vet er sant og å holde folk oppdatert," sa han. "Selv om en oppdatering er "Vi har ingenting å dele - ennå."

Korreksjon: Oppdatert til korrekt dato i første ledd til 2. august fra 7. august.