online gambling singapore online gambling singapore online slot malaysia online slot malaysia mega888 malaysia slot gacor live casino malaysia online betting malaysia mega888 mega888 mega888 mega888 mega888 mega888 mega888 mega888 mega888 加密貨幣Solana生態系逾500萬美金資產遭清空!疑Slope錢包「助記詞」洩漏

摘要: 市值第五大的加密貨幣Solana生態系遭到大規模駭入,超過8千個錢包被破解、清空資產,調查發現是熱錢包「Slope」助記詞加密不全所致。

 


全球市值第五大的加密貨幣Solana生態系遭到駭客大量攻擊,從2日到3日已有超過8,000個錢包被破解,包括 Phantom、Slope 和 TrustWallet,價值超過500萬美金的數位資產遭盜轉清空。

Solana在官方帳號發文指出,自家程式和密碼學基礎沒問題,這次大規模被盜主要和生態系中的Slope錢包有關,所有被盜的地址都有在Slope錢包上的行動軌跡。

而被「點名」的Slope今(4)日也發布公告,表示正積極和開發人員、安全專家展開內部調查,對社群的痛苦相當感同身受,因為就連Slope 許多員工和創始人的錢包也慘遭攻擊。

images/20220804_1-1.jpg

▲圖片來源:bnext

熱錢包用戶擁有自己的私鑰,被幣圈玩家普遍認為是比起交易所更安全的儲存方式,Slope究竟出了什麼問題?

助記詞資料未妥善加密,敏感資訊外洩

「這次主要還是Slope團隊的疏失。」擁有自家熱錢包的區塊鏈科技公司KryptoGO執行長歐曜瑋指出,問題出現在「助記詞」身上,助記詞是12-24個可被念出的英文單字,具有人眼可讀性,當你註冊一個新錢包或地址時,通常會看到視窗彈出,要求你記下這些單詞,之後還要檢驗是否真的記住,擁有這些助記詞,才是私鑰真正的主人,而這次Slope似乎未將助記詞妥善加密,就存進伺服器當中。

images/20220804_1-2.jpg

▲圖片來源:bnext

XREX 資安長暨總經理Sun Huang則點出,Slope中的私鑰和註記詞,會透過一款程式錯誤監控服務Sentry,把資料蒐集到阿里雲上的伺服器中,Slope可能在log規範中疏忽了,導致蒐集的資訊中包含敏感資訊,才讓攻擊者取得動用錢包資產的權限。

用戶需選擇多重查驗錢包,業者加強第三方資安監測

如此大規模事件造成幣圈人心惶惶,歐曜瑋建議Slope趕快把資產移出相關生態系,重新建立助記詞,改用相對安全的錢包,建議選擇應用存在時間較久、有知名投資人投資,或者取得國際認證的業者,才有多重查驗的保障。

「只要是人寫的程式,就一定會有疏漏。」資安公司Fortinet台灣區技術顧問楊光明表示,尤其軟體開發者不一定擁有資安專業,需要靠第三方資安業者協檢測,才能在程式設計階段就避免埋下漏洞因子,Sun Huang也提醒錢包廠商定期追蹤監測的重要性,「只要有漏洞,總有一天一定會被攻擊,只是時間早晚而已。」

images/20220804_1-3.jpg

▲圖片來源:bnext

除了業者加強防護外,用戶平時更需要自己提高警覺,Fortinet 北亞區技術總監劉乙表示,除了軟體漏洞外,另一個錢包遭駭的常見原因是「釣魚」,不肖人士透過空投等獎勵機制,引誘用戶點擊訊息,藉此取得錢包控制權,提醒使用者切勿輕易點擊不明連結,讓駭客有機可乘。

轉貼自: bnext.com

若喜歡本文,請關注我們的臉書 Please Like our Facebook Page: Big Data In Finance

 


留下你的回應

以訪客張貼回應

0
  • 找不到回應