Slope Finance zegt dat er geen "afdoend bewijs" is dat de grote Solana-hack koppelt aan de eigen beveiligingsfout van de portemonnee, volgens een verklaring van de Solana-portemonneeprovider op donderdag. Het onderzoekt de aanval nog, maar zei dat de auditors hun conclusies naderen.
Gebruikers van Slope-portemonnee - en anderen - werden eerder in augustus het slachtoffer van een kwaadaardige exploit die leidde tot de diefstal van meer dan $ 4 miljoen aan solana (SOL)-tokens van meer dan 9,000 adressen. Solana-onderzoekers herleidden de hack naar een kwetsbaarheid in de Slope mobiele portemonnees waar seed-frases in platte tekst waren opgeslagen.
Hoewel Slope erkende dat er inderdaad een kwetsbaarheid was, blijft het sceptisch dat dit de oorzaak van de hack was.
Volgens Slope bestond de beveiligingsfout weliswaar, maar het aantal portemonnee-adressen dat tijdens de aanval werd afgevoerd, overschreed het aantal gecompromitteerde adressen van Slope. Bovendien ontdekte het alleen dat 1,444 van zijn gecompromitteerde adressen waren leeggemaakt, veel minder dan het totale aantal dat werd leeggemaakt.
De leverancier van de Solana-portemonnee verklaarde ook dat, ondanks de kwetsbaarheid, de toegang tot de server - waar de informatie over de seed-frase was opgeslagen in platte tekst - werd beschermd door end-to-end-codering. Deze server had ook een extra drie-factor-authenticatieprotocol ingesteld voor het verlenen van toegang, aldus de verklaring.
Op basis van deze redenen, zei Slope, "is er geen sluitend bewijs van de auditors om de kwetsbaarheid van Slope te koppelen aan de exploit."
Slope zei dat haar onderzoeken geen extra beveiligingsproblemen hebben gevonden. Als zodanig zegt de portemonnee-provider dat de nieuwste gepatchte versie van de Slope-portemonnee veilig is voor gebruik. Slope verwierp echter de gebeurtenissen van vorige week in zijn verklaring en voegde eraan toe dat het bestaan van de beveiligingsfout alleen al voldoende was om het gebruikersgeld in gevaar te brengen.
“Dit komt lang niet in de buurt van de beveiligingsstandaard die Slope wilde vaststellen en handhaven, en we betreuren deze gebeurtenissen ten zeerste. Beveiliging is van het grootste belang voor ons, en onze gebruikersbasis is alles. We hadden dit nooit mogen laten gebeuren”, aldus de aankondiging van vandaag.
Na de hack bood Slope de aanvallers een premie van 10% aan als ze het gestolen geld teruggaven.
© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://www.theblock.co/post/162959/slope-no-conclusive-evidence-tying-4-million-solana-hack-to-its-own-security-flaw?utm_source=rss&utm_medium=rss