Внутри «учебного» ответа Соланы на эксплойт

Ночью 2 августа Остин Федера ужинал с друзьями, когда через приложение для обмена сообщениями Slack начали поступать уведомления. 

«Я подумал: «О, нет, мне нужно идти». Наволочка— вспоминал в недавнем интервью начальник отдела коммуникаций Фонда Солана. 

Только что появились новости о втором крупном взломе криптовалюты за два дня, и Federa была на передовой. Ровно через 24 часа после того, как протокол Nomad стоимостью 200 миллионов долларов был обнажён в результате «мародерства толпы», тысячи людей, подавляющее большинство из которых были пользователями Solana, опустошили свои кошельки в результате взлома, который вызвал панику во всей криптоиндустрии. Solana, криптовалюта № 9 с рыночной капитализацией в 15.6 млрд долларов, возглавляет новое поколение высокоскоростных блокчейнов, бросающих вызов Ethereum.

Четыре атакующих

По мере того как слухи распространялись, и пользователи принимали меры для защиты своих активов, воровство прекратилось. Эксперты полагают, что было четверо злоумышленников, которые воспользовались уязвимостью в криптовалютных кошельках Slope Finance и скрылись с оценивается в 4 миллионов долларов, карманная мелочь по отраслевым стандартам.

Тем не менее опасения, что Солана или сеть ее партнеров были скомпрометированы — теории, которые были быстро опровергнуты, — подтолкнули Федеру и его коллег к кризисному управлению. 

Это упражнение становится все более важным, поскольку количество эксплойтов растет, а целостность протоколов все чаще подвергается атакам. Harmony, еще один блокчейн уровня 1, боролся для устранения последствий взлома стоимостью 100 миллионов долларов в июне. Межсетевые мосты, такие как Nomad — протоколы, которые позволяют пользователям отправлять токены между блокчейнами — очень уязвимы для атак. По данным аналитиков, в ходе 2 эксплойтов было украдено более 13 миллиардов долларов, большинство из них в этом году. отчет о цепном анализе.

Массированная атака на цепочку поставок

«В первые часы казалось, что это потенциально довольно массовая атака на цепочку поставок», — сказал Федера, отметив, что одним из первых сообщений, которые он услышал, был коллега, у которого были опустошены кошельки Solana и Ethereum. . 

«В этот момент процесс смягчения последствий и расследования выходит за рамки того, где инженеры Solana Foundation и Solana Labs работают с поставщиками кошельков в сети Solana, — продолжил он, — и вместо этого становится чем-то, где вы должны бить тревогу и призывать людей. из MetaMask, ребята из Coinbase». 

Согласно сообщению The Defiant, Солана ловко справилась с эксплойтом. 

Первый официальный ответ Соланы пришел после 10:2 XNUMX августа. 

«Инженеры из нескольких экосистем с помощью нескольких охранных фирм исследуют опустошенные кошельки на Солане. Нет никаких доказательств того, что аппаратные кошельки затронуты», — говорится в Twitter-аккаунте Solana Status. «Эта ветка будет обновляться по мере поступления новой информации». 

Эрик Бернштейн, президент Bernstein Crisis Management, сказал, что некоторые аспекты реакции Соланы были учебником. Он опубликовал заявление об остановке, признав наличие проблемы. Он сказал, что это дало им время для разработки плана реагирования. 

На пике своего развития цифровая «военная комната», созданная Фондом Соланы, насчитывала почти 130 человек. Они знали, что проблема была не на уровне протокола, так как аппаратных кошельков не было. Но у них все еще есть огромные вопросы, на которые нужно ответить, сказала Федера. 

Затронутые кошельки

«Восемь тысяч — это одновременно и большое количество, и очень небольшое количество пользователей», — сказал он, имея в виду количество затронутых кошельков, которое с тех пор расширились до более чем 9,000. «И вопрос в основном заключался в том, была ли эта уязвимость массивной и межсетевой, и она еще не была использована, а злоумышленники были просто плохими?» 

Пока исследователи пытались выяснить, что произошло, обновления поступали из разных аккаунтов в Твиттере, некоторые из них казались «официальными», некоторые нет: от Federa; от склона; от Phantom, конкурирующего кошелька, пользователи которого также пострадали; от соучредителя Solana Анатолия Яковенко; от исследователей безопасности в вышеупомянутой «военной комнате»; от случайных крипто-сыщиков. 

Пострадавших пользователей попросили пройти онлайн-опрос, который поможет исследователям найти и исправить уязвимость. Всем остальным было предложено перевести свои активы в аппаратный кошелек.  

Бернстайн похвалил соответствующие организации за использование Twitter для информирования своей «технически подкованной, очень знакомой с цифровыми технологиями» аудитории. Но хор голосов «это не то, что мы когда-либо советуем делать клиенту». 

Попался момент

«Я говорю вам, это здорово, если вы можете это осуществить, потому что все выглядят очень сплоченными, и это действительно заставляет вас выглядеть так, как будто вы делитесь как можно большим количеством информации», — сказал Бернстайн. «Но это вызывает у меня тревогу. … У людей есть много возможностей испытать то, что они считают моментом, потому что один человек сформулировал что-то не так, как другой, или невинно допустил ошибку».

Federa заявила, что желание направлять все сообщения через одного представителя было «подходом компании Web2». 

«Солана — это не компания. Это децентрализованный программный проект с открытым исходным кодом, управляемый сообществом. Так что авторитета, который у Анатолия, у меня или у одной из аудиторских фирм не было больше, чем у кого бы то ни было», — сказал он. «В Твиттере есть много информации от других исследователей безопасности, которую группа узнала, увидев их в Твиттере. И если бы существовала культура не делиться этим и ждать… официального ответа, это на самом деле сделало бы работу намного медленнее и потенциально затруднило бы установление истинного ограниченного масштаба уязвимости». 

Нет уязвимостей

Хотя пострадали несколько провайдеров кошельков Solana, теперь эксперты считают, что проблема началась со Slope. В заявлении на этой неделе Phantom заявил, что расследование «не обнаружило уязвимостей, которые могли бы объяснить этот эксплойт пользователя».

«Материал закрытого ключа от этих пользователей Slope был непреднамеренно передан приложением Slope в службу мониторинга приложений, — сказал Солана в пресс-релизе в понедельник, — но то, как именно хакер получил или перехватил эту информацию, все еще расследуется».

Активность в сети

Между тем в понедельник Slope заявила, что приближается к концу «внутреннее аудиторское расследование». А TRM Lab, нанятая Слоупом для отслеживания активности злоумышленников в сети, «преследовала несколько зацепок». Наконец, компания поддерживала ежедневную связь с федеральными правоохранительными органами США. 

«Основываясь на этих обсуждениях, — сказал Слоуп, — мы сохраняем надежду».

Федера сказал, что каждый кризис отличается. Тем не менее, он пытается следовать простой схеме. 

«Главное — не сообщать то, о чем вы не знаете, и держать людей в курсе», — сказал он. «Даже если в обновлении написано: «Нам пока нечего делиться».

Исправление: Обновлено до правильной даты в первом абзаце до 2 августа с 7 августа.