Por dentro da resposta do 'livro-texto' de Solana à exploração

Na noite de 2 de agosto, Austin Federa estava jantando com amigos quando as notificações começaram a chegar pelo aplicativo de mensagens Slack. 

“Eu estava tipo 'Oh, não - eu tenho que ir'” Fronha, lembrou o chefe de comunicação da Fundação Solana em uma entrevista recente. 

A notícia do segundo grande hack de criptografia em dois dias acabara de ser divulgada e Federa estava na linha de frente. Exatamente 24 horas depois que o protocolo Nomad de US$ 200 milhões foi destruído em um “saque coletivo”, milhares de pessoas – a grande maioria delas usuários de Solana – tiveram suas carteiras esvaziadas em um hack que gerou pânico em toda a indústria de criptografia. Solana, a nona criptomoeda com valor de mercado de US$ 9 bilhões, está liderando uma nova geração de blockchains de alta velocidade que desafiam o Ethereum.

Quatro atacantes

À medida que a notícia se espalhava e os usuários tomavam medidas para proteger seus bens, os furtos foram interrompidos. Os especialistas acreditam que houve quatro invasores que exploraram uma vulnerabilidade nas carteiras criptografadas da Slope Finance e fugiram com um estimado em US$ 4 milhões, alguns trocados pelos padrões da indústria.

No entanto, o receio de que Solana ou a sua rede de parceiros tivessem sido comprometidas – teorias que foram rapidamente desmentidas – estimulou Federa e os seus homólogos a um episódio de gestão de crises. 

É um exercício que está se tornando importante à medida que o número de explorações aumenta e a integridade dos protocolos é cada vez mais atacada. Harmony, outro blockchain da Camada 1, tem lutado para lidar com o impacto de um hack de US$ 100 milhões em junho. Pontes entre cadeias como o Nomad – protocolos que permitem aos usuários enviar tokens entre blockchains – são extremamente vulneráveis ​​a ataques. Mais de US$ 2 bilhões foram roubados em 13 explorações, a maioria neste ano, de acordo com um relatório Chainalysis.

Ataque massivo à cadeia de suprimentos

“Nas primeiras horas, parecia que se tratava de um ataque potencialmente massivo à cadeia de abastecimento”, disse Federa, observando que um dos primeiros relatos que ouviu foi de um colega que teve suas carteiras Solana e Ethereum drenadas. . 

“Nesse ponto, o processo de mitigação e investigação vai além de algo em que os engenheiros da Fundação Solana e do Solana Labs estão trabalhando com provedores de carteira na rede Solana”, continuou ele, “e, em vez disso, torna-se algo em que você tem que soar o alarme e puxar as pessoas da MetaMask, pessoal da Coinbase. 

De acordo com reportagem do The Defiant, Solana lidou com a exploração com habilidade. 

A primeira resposta oficial de Solana veio depois das 10h do dia 2 de agosto. 

“Engenheiros de vários ecossistemas, com a ajuda de várias empresas de segurança, estão investigando carteiras esgotadas em Solana. Não há evidências de que as carteiras de hardware tenham sido afetadas”, tuitou a conta Solana Status no Twitter. “Este tópico será atualizado à medida que novas informações forem disponibilizadas.” 

Erik Bernstein, presidente da Bernstein Crisis Management, disse que aspectos da resposta de Solana foram didáticos. Ele divulgou uma declaração reconhecendo que havia um problema. Ele disse que isso lhes deu tempo para elaborar um plano de resposta. 

No seu auge, a “sala de guerra” digital criada pela Fundação Solana tinha quase 130 pessoas. Eles sabiam que o problema não estava no nível do protocolo, pois as carteiras de hardware foram poupadas. Mas eles ainda tinham grandes questões a responder, disse Federa. 

Carteiras afetadas

“Oito mil era um número grande e um número muito pequeno de usuários”, disse ele, referindo-se ao número de carteiras afetadas, que desde então aumentou para mais de 9,000. “E a questão era basicamente: essa vulnerabilidade era enorme e cruzada e ainda não havia sido explorada e os invasores eram simplesmente maus?” 

Enquanto os pesquisadores trabalhavam para descobrir o que havia acontecido, as atualizações vieram de diversas contas no Twitter, algumas aparentemente “oficiais”, outras não: de Federa; da encosta; da Phantom, uma carteira concorrente cujos usuários também foram afetados; do cofundador da Solana, Anatoly Yakovenko; de pesquisadores de segurança na referida “sala de guerra”; de detetives criptográficos aleatórios. 

Os usuários afetados foram solicitados a preencher uma pesquisa online que ajudaria os pesquisadores a encontrar e corrigir a vulnerabilidade. Todos os demais foram incentivados a transferir seus ativos para uma carteira de hardware.  

Bernstein aplaudiu as organizações relevantes por usarem o Twitter para manter informado o seu público “experiente em tecnologia e muito nativo digital”. Mas o coro de vozes “não é algo que aconselhamos um cliente a fazer”. 

Momento Te peguei

“Eu lhe digo, é ótimo se você conseguir fazer isso porque todos parecem muito coesos e isso realmente faz parecer que você está compartilhando o máximo de informações possível”, disse Bernstein. “Mas isso me dá ansiedade. … Há muitas oportunidades para as pessoas terem o que elas acham que é um momento de pegadinha porque uma pessoa enquadrou algo diferente de outra ou cometeu um erro inocentemente.

Federa disse que o instinto de encaminhar toda a comunicação através de um único porta-voz era uma “abordagem de empresa Web2”. 

“Solana não é uma empresa. É um projeto de software descentralizado, de código aberto e administrado pela comunidade. Portanto, não há mais autoridade que Anatoly, eu ou uma das empresas de auditoria tínhamos em comparação com qualquer outra pessoa”, disse ele. “Há muitas informações de outros pesquisadores de segurança no Twitter que o grupo aprendeu ao vê-los no Twitter. E se houvesse uma cultura de não compartilhar isso e esperar por… uma resposta oficial, isso teria tornado as coisas muito mais lentas e teria tornado potencialmente mais difícil determinar o verdadeiro escopo limitado da vulnerabilidade.” 

Sem vulnerabilidades

Embora vários fornecedores de carteiras Solana tenham sido afetados, os especialistas agora acreditam que o problema começou com o Slope. Em um comunicado esta semana, o Phantom disse que uma investigação “não encontrou vulnerabilidades que pudessem explicar a exploração do usuário”.

“O material chave privado desses usuários do Slope foi transmitido inadvertidamente pelo aplicativo Slope para um serviço de monitoramento de aplicativos”, disse Solana em um comunicado à imprensa na segunda-feira, “mas exatamente como o hacker obteve ou interceptou essas informações ainda está sob investigação”.

Atividade na rede

Enquanto isso, a Slope disse na segunda-feira que estava chegando ao fim de suas “investigações de auditoria interna”. E o TRM Lab, contratado pela Slope para rastrear a atividade dos invasores na rede, estava “perseguindo múltiplas pistas”. Finalmente, a empresa mantinha comunicação diária com as autoridades federais dos EUA. 

“Com base nessas discussões”, disse Slope, “continuamos esperançosos”.

Federa disse que cada crise é diferente. No entanto, ele tenta seguir um manual simples. 

“O principal é não comunicar o que você não sabe ser verdade e manter as pessoas atualizadas”, disse ele. “Mesmo que uma atualização seja: ‘Não temos nada para compartilhar – ainda’”.

Correção: Atualizado para a data correta no primeiro parágrafo até 2 de agosto de 7 de agosto.