De cryptogeld gemeenschap komt nog steeds in het reine met de Solana (SOL) software wallets hack die heeft geresulteerd in het verlies van ten minste $ 4.5 miljoen. Het eerste onderzoek geeft aan dat de hack te wijten is aan een exploit in specifieke portefeuilles, waaronder Slope en Phantom.
Na de hack solarium ontwikkelaars gaven aan dat ze de hoofdoorzaak van de exploit hadden geïdentificeerd als gecompromitteerde privésleutels "gemaakt, geïmporteerd of gebruikt in Slope mobiele portemonnee-applicaties."
Hoewel een deel van de gemeenschap Solana de schuld geeft van de hack, lijkt een nieuwe analyse van de exploit het netwerk van elke verantwoordelijkheid te ontslaan.
In een reeks tweets op 3 augustus, Web 3.0 aangedreven door blockchain-technologie, Point Network bekend het eerste teken waarom Solana niet de schuldige is, is dat er slechts twee netwerkportefeuilles zijn getroffen. De analyse bleef uitsplitsen wat er met de portefeuilles gebeurde, waarbij werd gezinspeeld dat zwakke gedecentraliseerde tweefactorauthenticatie de belangrijkste reden zou kunnen zijn.
Solana kan echte en nepgebruikers niet onderscheiden
Volgens de analyse lijkt het erop dat een derde partij toegang heeft gekregen tot de privésleutels, en in dit geval heeft Solana geen middelen om onderscheid te maken tussen echte en nep-eigenaren.
"In wezen is de wortel van het probleem dat het Solana-netwerk geen onderscheid kan maken tussen een echte en een nep-eigenaar, om alleen de echte eigenaar toegang te geven tot de terugbetaling", zei Point Network.
Verder merkte Point Network op dat de exploit ook kan worden uitgevoerd via meerdere handtekeningen en hardware portefeuilles, maar de aanpak is hoogst onwaarschijnlijk. Interessant is dat Solana ook bevestigd op 3 augustus dat er geen bewijs is dat hardwarewallets op het netwerk zijn getroffen.
Point Network sloot echter ook het exploiteren van de kluisportemonnee uit vanwege de tijdslotfunctie die een specifiek tijdsbestek instelt voor het bevestigen van de transacties. Vanwege de live-functie van de portefeuilles kan de aanvaller stoppen met het stelen van het geld, omdat de echte houder de transactie kan annuleren en terugsturen naar de kluis.
De onderzoekers zeiden dat als de transacties niet worden betwist, ze zullen worden bevestigd zonder dat er sleutels nodig zijn.
Elk netwerk kan worden beïnvloed
Uiteindelijk concludeerde de analyse dat een dergelijke aanval elk netwerk kan treffen, niet alleen Solana.
"Dit zou niet alleen werken in een wereldwijde situatie waarin duizenden portefeuilles op de een of andere manier worden aangetast, maar ook in een normale omgeving als je privésleutel per ongeluk lekt of je apparaat wordt gecompromitteerd. En dit kan voor *alle* netwerken werken, niet alleen voor Solana,” voegde Point Network toe.
De bewering komt met name overeen met de mening van Phantom, waarbij wordt beweerd dat het "niet gelooft dat dit een Phantom-specifiek probleem is."
Hoewel de details van de hack voornamelijk onduidelijk blijven, merkte Solana op dat ongeveer 7,767 portefeuilles waren getroffen, zowel op mobiele portefeuilles als op browserextensies.
Bron: https://finbold.com/new-investigation-uncovers-why-solana-may-not-be-solely-liable-for-the-wallet-hack/