Le wallet Slope à l'origine du hack de Solana (SOL)
Le wallet Slope a été identifié comme la source du récent hack ayant compromis près de 8000 wallets de Solana (SOL).
Sloppy job
Les développeurs de Solana ont découvert que les adresses impliquées dans le hack ont un point commun : une interaction avec le wallet Slope.
« Il semblerait que les adresses affectées aient été à un moment donné créées, importées ou utilisées via le wallet mobile Slope », peut-on lire sur le compte twitter de Solana.
Voici ce que dit la description de l’app Slope sur Google store :
« Slope wallet permet d’importer un wallet ethereum. Il est possible d’y stocker des ETH ou de cloner des ETH sur Solana pour profiter de transactions instantanées sur ETH pour un coût 1000 fois plus faible ! »
Slope est un wallet non-custodial (mais pas open-source) spécifique à l’écosystème Solana. « Non-custodial » signifie que leurs utilisateurs détiennent eux-mêmes leurs clés privées.
Néanmoins, le wallet offre des services liés à la DeFi, les NFT et le ETH cross-chain. Autant de failles potentielles puisque ces usines à gaz peuvent avoir besoin d’importer temporairement des seed phrases sur leurs serveurs.
C’est ce que suggère @0xfoobar :
Pour le moment, « les détails sur la manière exacte dont cela s’est produit font encore l’objet d’une enquête » a communiqué Solana. La firme suspecte tout de même que les clés privées auraient été transmises « par inadvertance à une app de monitoring »…
Ce genre d’application mesure généralement les performances des applications d’un smartphone pour en améliorer les performances. Nous ne savons pas encore de laquelle il s’agit. La suite au prochain épisode.
Dit autrement, nous avons deux versions. @0xfoobar suggère qu’il s’agit d’un inside job chez Slope, alors que la team Solana penche pour une intrusion dans le wallet via une app de monitoring.
En revanche, il est confirmé que les wallets synchronisés avec Slope et ayant été compromis sont bien Phantom et Trust.
D’après Dune Analytics, le hack est terminé et concerne 41 880 SOL. Soit 1.6 million de dollars, et non pas 8 millions de dollars comme nous l’avions rapporté hier.
Chris Terry, vice-président chez SmartFi, a commenté :
« On a l’habitude de dire « Not you key, not your coin », mais ce nouveau hack montre le risque associé à la connexion de son wallet à des plateformes DeFi. Nous recommandons de ne jamais utiliser un seul wallet pour tout. Ne soyez pas paresseux. Créez un wallet pour chaque tâche spécifique afin de ne pas risquer de tout perdre en cas de bug. »
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Reporting on Bitcoin, "the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy".
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.