昨日お伝えしたSolanaのハッキングによる資金流出についての続報となる。今回の被害にあったユーザーはアプリの「Slope Wallet」で作成やインポート、使用するなどをした人が対象になっているようだ。その一方で今回の対象はソフトウェアのみとなり、ハードウォレットに関しては安全だという。
After an investigation by developers, ecosystem teams, and security auditors, it appears affected addresses were at one point created, imported, or used in Slope mobile wallet applications. 1/2
— Solana Status (@SolanaStatus) August 3, 2022
さらなる詳細は調査中であるものの、秘密鍵がアプリケーション監視サービスに送信されていたとのこと。現状ではSolana自体の暗号化に問題は見受けられないとしている。その一方で申告な点として
Solana hack - looks like the Slope wallet sent plaintext seed phrases to external integration partners.
— foobar (@0xfoobar) August 3, 2022
Compromised Phantom wallets came from seed phrase imports used in Slope. Compromised ETH wallets were also from seed phrase reuse.
Not a blockchain or randomness issue.
と秘密鍵が平文で送られていたのではないかと指摘する声もある。
1/ Phantom has reason to believe that the reported exploits are due to complications related to importing accounts to and from @slope_finance.
— Phantom (@phantom) August 3, 2022
We are still actively working to identify whether there may have been other vulnerabilities that contributed to this incident. https://t.co/W5B19gbMJX
またPhantom Walletの公式Twitterでは、Slopeとのアカウントのインポートにおいて問題がある可能性を示唆している。
本件で気になるのは秘密鍵がアプリケーション監視サービスへの送信だが、これは仕様の範囲であるのか、また悪意ある意図なのかという点だ。引き続き新情報が 入り次第追記していく。
