Злом Solana на 6 млн дол. США: як Bitget допомагає захистити ваші активи

3 серпня 2022 року став серйозним випробуванням для безпеки криптовалютної індустрії. Паніка й хаос охопили стрімко екосистему Solana після масштабної хакерської атаки, що вразила тисячі гаманців одночасно. Унаслідок атаки було зламано понад 8000 гаманців, а загальні втрати склали близько 6 мільйонів доларів США. Що саме сталося того дня — і як запобігти повторенню подібної катастрофи в майбутньому?

Коли спекотний серпень став найхолоднішим днем для Solana

Solana зарекомендувала себе як перспективна блокчейн-мережа нового покоління. Вона увійшла до числа 5 найбільших блокчейн-мереж за показником заблокованої ліквідності. Відбувся фінальний вечір Solana Summer Camp hackathon із загальним призовим пулом у розмірі 5 млн дол. США. Тисячі людей по всьому світу раділи можливості зустрітися з розробниками хакатону, знайти товаришів по команді та дізнатися про розробку на Solana. Все йшло добре…

Приблизно о півночі 2 серпня (UTC) почали надходити повідомлення про злом криптогаманців у блокчейн-мережі Solana. Коли все більше людей почали повідомляти про втрачені кошти в соціальних мережах, паніка швидко охопила весь крипторинок. Тривожні сигнали спричинили панічну реакцію, яка породила лавину питань без відповідей та неконтрольованих чуток.

Чи була це цілеспрямована атака? Чи цілі не було?

Скільки гаманців постраждало?

Чи вдасться зупинити атаку? Коли вона зупиниться?

Чи є це результатом уразливості Solana? Що спричинило атаку?

Чутки про масштабну атаку на Solana почали поширюватися опівночі 2 серпня.

Гамір стояв неймовірний. Межа між правдою і шумом була стерта — як ніколи. Одне було зрозуміло: це не виглядало як спланована атака через спеціальний смартконтракт, що змінює мережу чи перенаправляє гаманці. Задіяні гаманці підписували транзакції так, наче ними керували легітимні власники. Реальність виявилася значно серйознішою — йшлося про компрометацію тисяч приватних ключів користувацьких гаманців. Чи містив протокол Solana критичну вразливість, що давала змогу розкрити приватні ключі? Оскільки більшість зламаних гаманців знаходились на мобільних пристроях, чи була ця вразливість специфічною саме для мобільних платформ? Або, враховуючи, що багато зламаних гаманців були пов’язані зі Slope, чи могла це бути вразливість саме цього гаманця?

У той час як користувачі намагалися з’ясувати джерело витоку приватних ключів, стало відомо про широку кампанію шкідливого ПЗ на GitHub, спрямовану проти криптопроєктів. Це лише поглибило кризу й зробило ніч по-справжньому тривожною.

Інформація про атаку шкідливого програмного забезпечення на GitHub, яка збіглася у часі зі зломом гаманців Solana, лише посилила загальний хаос.

Команда GitHub оперативно втрутилася та усунула проблему. З’ясувалося, що один із розробників виявив проблему на GitHub і спробував протестувати її, змінивши лише одну змінну. Цей розробник навіть стверджував, що може довести, що сервер, з якого здійснювалася атака, належить йому. Зрештою з’ясувалося, що атаку на GitHub було перебільшено, і вона не мала жодного стосунку до зламу гаманців Solana. Втім, як з огляду на час, так і за обставинами, ця подія лише посилила атмосферу хаосу та тривоги.

Поки криптоспільнота намагалася розібратися в причинах зламу Solana, один ентузіаст взяв на себе ініціативу перевантажити мережу і сповільнити зловмисника, влаштувавши DDoS-атаку — з благородною метою. Користувачі криптовалютного Twitter назвали його «героєм, на якого ми не заслуговуємо, але який нам потрібен».

Паніка поступово згасала, а над горизонтом вже сходило сонце. Команда Solana пообіцяла залучити «інженерів з кількох екосистем, а також аудиторські компанії та організації з безпеки для розслідування причин інциденту».

Співзасновник Solana та генеральний директор Solana Lab Анатолій Яковенко оперативно звинуватив iOS та Android в атаці, про що написав у своєму Twitter-акаунті. Згодом, після, здавалося б, більш ґрунтовного розслідування, команда Solana дійшла висновку, що «схоже, уражені адреси були колись створені, імпортовані або використані в мобільних гаманцях Slope»

Відтоді Slope Finance опублікувала офіційну заяву щодо атаки у своєму акаунті на Medium та оголосила винагороду в розмірі 10% від загальної суми викрадених коштів — за умови, що хакер поверне решту 90% активів. Чи виявиться ця жест щедрості ефективним — невдовзі дізнаємось.

Фонд Solana Foundation також створив форму для збору інформації про скомпрометовані гаманці внаслідок масової атаки. Користувачам, яких це стосується, рекомендується заповнити цю форму.

Наслідки

Прихильники Solana, зокрема Чамат Паліхапітія та Andreessen Horowitz, заявляли, що Solana може стати серйозним конкурентом для Ethereum, оскільки перевершує його за швидкістю та низькими комісіями. Однак після атаки знову виникло знайоме питання: чи справді швидкість і низька вартість компенсують зниження безпеки, яке може зробити блокчейн вразливим для хакерів?

Попри те, що ціна SOL впала лише на 3% після атаки, і активність у мережі швидко відновилася, багато користувачів криптовалют досі не розуміють, як надійно захистити свої кошти.

Криптобезпека: як захистити свої кошти від шахраїв і зловмисників

Багато прихильників криптовалют і децентралізованих фінансів називають їх майбутнім фінансової системи, але не можна заперечити, що безпека й досі залишається серйозною проблемою — як для користувачів криптовалют, так і для тих, хто ще не увійшов у цю сферу. У різних країнах світу починають запроваджувати правила, спрямовані на кращий захист криптоінвесторів. У світі криптовалют, що досі нагадує Дикий Захід, головне правило — DYOR: проводити власне дослідження та подбати про свій захист.

Новим інвесторам варто ознайомитися з різними типами криптогаманців — короткий гайд доступний тут.

Після нещодавнього інциденту з Solana багато користувачів звернулися до соціальних мереж із вимогами до Solana та Slope щодо повернення втрачених коштів. Хоча втрачати важко зароблені гроші боляче для користувачів, проєктам також складно одразу компенсувати всі збитки, витрачаючи на це мільйони доларів. Можливо, саме тому Slope безуспішно намагається розшукати зловмисника.

Замість того щоб просити зловмисника повернути ваші кошти, краще заздалегідь подбати про захист — наприклад, оформити страхування чи скористатися іншими інструментами, що реально знижують ризик втрати активів. Яскравим прикладом проактивного підходу до безпеки є Фонд захисту Bitget обсягом 700 мільйонів доларів США. Забезпечення фонду, який містить 6500 BTC, гарантується протягом щонайменше трирічного періоду. Фонд компенсує втрати, за умови, що вони не спричинені діями самого користувача або проблемами з боку платформи. У такому випадку користувач може звернутися на support@bitget.com протягом 30 днів з моменту інциденту, після чого команда Bitget проведе ретельне розслідування, щоб забезпечити справедливість і безпеку.

Окрім цього, Bitget дотримується жорстких політик KYC та AML, а також виконує місцеві регуляторні норми, щоб підвищити стандарти, гарантувати безпеку та відповідати вимогам комплаєнсу.

Щоб дізнатися більше про Фонд захисту Bitget, перейдіть за посиланням.