Отметим, что с потерей средств столкнулось около 8 тысяч владельцев кошельков, которые в целом лишились приблизительно эквивалента 4.46 миллиона долларов. Естественно, это крайне неприятная ситуация, а подобных утрат не заслуживает никто.

При этом стоит отметить, что в масштабах целого блокчейна взлом оказался относительно небольшим. Всё же рыночная капитализация Solana, то есть произведение всех монет SOL на их количество, сегодня составляет эквивалент 13.47 миллиарда долларов.


Для наглядности: взломы так называемых кроссчейн-мостов, то есть платформ, позволяющих перемещать токены и NFT между разными сетями, только в 2022 году “принесли” хакерам эквивалент 2 миллиардов долларов за 13 хаков.

Как бы там ни было, взлом состоялся, и в его причинах нужно разобраться.

Как пользователи сети Solana потеряли деньги

Для начала нужно отметить, что причиной произошедшего не стала сеть Solana, то есть взломанной она не была. Виноватыми оказались разработчики уже упомянутого кошелька Slope, о чём сообщили в официальном Твиттере Solana Status. Вот цитата представителей проекта, которая была озвучена сегодня ночью.

После расследования, проведённого разработчиками, командами экосистемы и аудиторами безопасности, можно сделать вывод, что затронутые адреса были так или иначе созданы, импортированы или использованы в мобильном кошельке Slope.


Соответственно, проблема заключалась именно в Slope. Как стало понятно позже, затронутые кошельки Phantom и TrustWallet отношения к причинам хака не имели.


Деталями происходящего по ходу расследования поделился разработчик под псевдонимом foobar. Вот его реплика из Твиттера.

Касательно взлома Solana: похоже, кошелёк Slope отправлял сид-фразы в виде открытого текста сторонним партнёрам по интеграции. Кошельки Phantom стали жертвой из-за импорта сида, который использовался в Slope. Кошельки ETH были скомпрометированы из-за повторного использования сид-фразы. Это не проблема блокчейна или случайности.

Чуть позже разработчик уточнил детали происходящего.

Поправка: кошелёк Slope не отправлял сид-фразы внешним партнёрам, однако мог регистрировать их на собственных централизованных серверах. Прошу прощения, что немного забегаю вперёд, однако разбор продолжается. Дождитесь объявления от команды для полноценного подтверждения.


Это значит, что кошелёк Slope отправлял сид-фразу пользователей на собственный сервер, причём делал это в незашифрованном виде. Всё верно: речь идёт о секретной комбинации, которая открывает доступ к содержимому криптовалютного адреса и позволяет им распоряжаться. По какой-то причине разработчики решили, что данные сочетания слов нужно дублировать на своём сервере, что вообще не соответствует нормам децентрализации. Да и логики в целом.


Проблему из-за Slope подтвердили разработчики кошелька Phantom, пользователи которого стали наиболее массовой жертвой хакеров. Вот их твит.

У команды Phantom есть основания полагать, что найденная брешь связана с осложнениями на фоне импорта счетов из Slope. Мы продолжаем работать над поиском других вероятных уязвимостей, которые сделали возможным данный баг.


Почему же деньги потеряли пользователи Phantom? Судя по всему, они в какой-то момент создавали упомянутую сид-фразу с помощью Slope, после чего импортировали — или вводили её — в кошелёк Phantom. А поскольку данная комбинация уже лежала на сервере в открытом виде, хакеры по сути могли добраться и до монет, которые “лежали” внутри Phantom. Хотя по факту здесь всё сводится к краже сид-фразы, а не взаимодействии с Phantom.


Подтверждением данной версии поделился пользователь Твиттера под псевдонимом MoonRank. Он опубликовал данные, отправляемые кошельком Slope на сервер. И здесь действительно заметна сид-фраза пользователя — мы подчеркнули её для удобства на следующем скриншоте.

Увы, невнимательность или халатность разработчиков обошлась некоторым пользователям дорого. К примеру, вот твит пользователя под ником Degen Asocial Toxic Club, который утверждает, что потерял все деньги. Речь идёт о 2968 USDC и 235 SOL в эквиваленте 9101 доллара по сегодняшнему курсу.

Ещё один пользователь под ником brudi сообщил о потере 53 SOL.


Если вы используете кошелёк Slope, немедленно выведите криптовалюту с него. Это также касается кошелька Phantom и других, в которые могла быть импортирована сид-фраза, созданная при помощи Slope. В идеале перевести монеты на аппаратные кошельки по типу Ledger, поскольку они не пострадали в ходе атаки. Если аппаратника по какой-то причине нет, стоит отправить деньги на централизованную биржу.


Некоторые представители криптовалютного сообщества отреагировали на ситуацию с помощью мемов. В частности, вот видео от joma, которое якобы показывает реакцию некоторых криптоинвесторов на новость о взломе. Увы, многие люди потеряли куда большие суммы.


И хотя окончательная версия произошедшего ещё не озвучена, вина разработчиков Slope выглядит достаточно очевидной. Всё же как убедились другие девелоперы, сид-фразы, которые каждый пользователь криптовалют должен хранить в недоступном для других месте, почему-то оказывались на сервере, причём в незащищённом виде. Хватит ли у команды проекта ресурсов для хотя бы частичной компенсации — неизвестно, и то же самое касается вообще готовности помогать жертвам хака.

Хочется верить, что больше таких инициатив разработчиков не будет. Всё же подобное подрывает доверие к девелоперам и новым блокчейн-решениям — а пользы от этого точно никому нет.


Что думаете по ситуации? Поделитесь своим мнением в нашем крипточате миллионеров. Там обсудим и другие темы.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУЗЕМУН НЕ ЗА ГОРАМИ!