全球市值第五大的加密貨幣Solana生態系遭到駭客大量攻擊,從2日到3日已有超過8,000個錢包被破解,包括 Phantom、Slope 和 TrustWallet,價值超過500萬美金的數位資產遭盜轉清空。
Solana在官方帳號發文指出,自家程式和密碼學基礎沒問題,這次大規模被盜主要和生態系中的Slope錢包有關,所有被盜的地址都有在Slope錢包上的行動軌跡。
而被「點名」的Slope今(4)日也發布公告,表示正積極和開發人員、安全專家展開內部調查,對社群的痛苦相當感同身受,因為就連Slope 許多員工和創始人的錢包也慘遭攻擊。
熱錢包用戶擁有自己的私鑰,被幣圈玩家普遍認為是比起交易所更安全的儲存方式,Slope究竟出了什麼問題?
助記詞資料未妥善加密,敏感資訊外洩
「這次主要還是Slope團隊的疏失。」擁有自家熱錢包的區塊鏈科技公司KryptoGO執行長歐曜瑋指出,問題出現在「助記詞」身上,助記詞是12-24個可被念出的英文單字,具有人眼可讀性,當你註冊一個新錢包或地址時,通常會看到視窗彈出,要求你記下這些單詞,之後還要檢驗是否真的記住,擁有這些助記詞,才是私鑰真正的主人,而這次Slope似乎未將助記詞妥善加密,就存進伺服器當中。
XREX 資安長暨總經理Sun Huang則點出,Slope中的私鑰和註記詞,會透過一款程式錯誤監控服務Sentry,把資料蒐集到阿里雲上的伺服器中,Slope可能在log規範中疏忽了,導致蒐集的資訊中包含敏感資訊,才讓攻擊者取得動用錢包資產的權限。
用戶需選擇多重查驗錢包,業者加強第三方資安監測
如此大規模事件造成幣圈人心惶惶,歐曜瑋建議Slope趕快把資產移出相關生態系,重新建立助記詞,改用相對安全的錢包,建議選擇應用存在時間較久、有知名投資人投資,或者取得國際認證的業者,才有多重查驗的保障。
「只要是人寫的程式,就一定會有疏漏。」資安公司Fortinet台灣區技術顧問楊光明表示,尤其軟體開發者不一定擁有資安專業,需要靠第三方資安業者協檢測,才能在程式設計階段就避免埋下漏洞因子,Sun Huang也提醒錢包廠商定期追蹤監測的重要性,「只要有漏洞,總有一天一定會被攻擊,只是時間早晚而已。」
除了業者加強防護外,用戶平時更需要自己提高警覺,Fortinet 北亞區技術總監劉乙表示,「釣魚」是軟體漏洞常見的利用方式,同時也是其中一個錢包遭駭的原因,不肖人士透過空投等獎勵機制,引誘用戶點擊訊息,藉此取得錢包控制權,提醒使用者切勿輕易點擊不明連結,讓駭客有機可乘。
責任編輯:侯品如
