Hacking de la blockchain Solana : le commentaire de Tenable
août 2022 par Tenable
Des millions de dollars en crypto-monnaies et autresToken ont été volés dans des portefeuilles connectés à Internet sur la blockchain Solana. Les actifs ont été dérobés dans environ 8 000 portefeuilles, principalement ceux des utilisateurs de portefeuilles mobiles de Phantom et Slope. Veuillez trouver ci-dessous un commentaire de Satnam Narang, Senior Research Engineer de Tenable à ce sujet. N’hésitez pas à l’utiliser si vous souhaitais traiter l’information.
"Le piratage de Solana, qui a conduit au vol de plus de 5 millions de dollars, est le résultat d’une seed phrase d’amorçage (ou phrases mnémoniques), un groupe de mots aléatoires qui sont utilisés pour aider les utilisateurs à accéder ou à récupérer leur portefeuille de crypto-monnaies, par un portefeuille fabriqué par Slope Finance.
Les utilisateurs qui veulent interagir avec diverses blockchains créent généralement ce que l’on appelle des hot wallets, auxquels on peut facilement accéder par le biais d’extensions de navigateur ou d’applications mobiles et de bureau. Dans le cadre de la fonctionnalité de journalisation de son application, Slope Finance a stocké les phrases de démarrage des utilisateurs en texte clair dans ces journaux, ce qui a été déterminé comme étant la source de la violation. Les utilisateurs qui ont créé des portefeuilles en utilisant Slope Wallet ou qui ont importé leurs portefeuilles dans Slope à partir d’autres portefeuilles comme Phantom, ont été affectés.
Quiconque possède une seed phrase ou une phrase mnémonique peut prendre le contrôle de la crypto-monnaie et des NFT des utilisateurs, ce qui explique pourquoi le conseil classique de ne jamais partager sa phrase est si important. Malheureusement, dans le cas présent, les utilisateurs n’étaient pas en faute et c’est le stockage en clair de leurs seed phrases qui a conduit au vol de leurs fonds.
Pour les amateurs de crypto-monnaies qui cherchent à interagir avec diverses blockchains, nous conseillons vivement de faire vos propres recherches pour vérifier si un projet a effectué des audits ou des pentests de tiers sur ses applications ou son infrastructure avant de confier vos fonds à ces applications. En outre, les utilisateurs sont vivement encouragés à envisager l’utilisation d’un portefeuille froid, qui comprend les portefeuilles matériels, les portefeuilles papier ou les portefeuilles USB/CD hors ligne qui ne sont pas aussi facilement accessibles, pour stocker leurs crypto-monnaies à long terme."