Un atacante desconocido vació miles de carteras que contenían al menos 4 millones de dólares en Solana y USDC a última hora de la noche del martes. El hackeo, que todavía estaba en curso a las 8:00 PM PST, parecía concentrarse en el monedero del navegador Solana Phantom y se creía que comprometía las claves de los usuarios, posiblemente involucrando frases de semillas que se reutilizaban entre los monederos de diferentes cadenas
"Más de 5.000 monederos de Solana han sido drenados en las últimas horas", informó la empresa de auditoría de blockchain OtterSec a primera hora de la tarde. "Estas transacciones están siendo firmadas por los propietarios reales, lo que sugiere algún tipo de compromiso de la clave privada".
La cuenta de Twitter de actualizaciones de estado de Solana informó que 7.767 carteras se han visto afectadas, y señaló que "los ingenieros están investigando la causa raíz" el miércoles por la mañana. Sin embargo, un tablero de datos que rastrea los fondos hackeados y la actividad de los monederos sugiere una cifra mucho mayor.
Según Solscan, un total de 15.220 carteras han sido afectadas, y un total de 4,46 millones de dólares en tokens, principalmente SOL y USDC, han sido robados.
Desglose de las criptomonedas robadas en USD en todas las carteras de los hackers. Imagen: Solscan.
Los ingenieros de todo Internet, incluidas las blockchains que no son Solana, han estado trabajando para intentar y comprender tanto la causa del exploit como su alcance.
"Nos estamos comunicando activamente con los equipos de las billeteras afectadas para ofrecer nuestra ayuda y monitorear si hay algo que podamos hacer para mantener a nuestros usuarios más seguros", dijo un portavoz de la billetera Ethereum MetaMask a Decrypt.
Los informes iniciales señalaron a la cartera de navegador Solana Phantom y al ecosistema Solana. La noticia provocó una caída del 8% en el valor de Solana en las dos horas siguientes a los primeros informes del ataque, según CoinMarketCap, que también señala un aumento del 45% en el volumen de operaciones en las últimas 24 horas.
"Hay un exploit desconocido de $SOL que actualmente está drenando billeteras aleatorias de Phantom", dijo el inversionista y analista de criptomonedas Miles Deutscher. "6 millones de dólares actualmente robados. Si tienes fondos en Phantom, asegúrate de revocar todos los permisos + moverte a una billetera de hardware."
El popular mercado de NFT de Solana, Magic Eden, también llevó a Twitter para advertir del exploit.
"Parece que hay un exploit de SOL generalizado en juego que está drenando carteras en todo el ecosistema", escribió la cuenta. En el tweet, Magic Eden proporcionó instrucciones para eliminar los permisos de los enlaces sospechosos.
🚨🚨🚨There seems to be a widespread SOL exploit at play that's draining wallets throughout the ecosystem
Here's what you can do right now to best protect yourself 1. Go to >Settings on your @phantom wallet 2. >Trusted Apps 3. >Revoke Permissions for any suspicious links
Phantom dice que está investigando los exploits reportados.
"Estamos trabajando estrechamente con otros equipos para llegar al fondo de una vulnerabilidad reportada en el ecosistema Solana", tuiteó Phantom. "En este momento, el equipo no cree que esto sea un problema específico de Phantom. Tan pronto como reunamos más información, emitiremos una actualización".
Robo de las principales criptomonedas Solana y USDC
Pero el ataque no parece limitarse a Solana. Otro usuario informó que su saldo de USDC también fue drenado.
El usuario de Twitter Justin "Justin.sol" Barlow publicó: "Mi ERC-20 y SPL USDC mantenidos tanto en @slope_finance como en @TrustWallet fueron drenados".
For reference I haven't interacted with any contracts at all in ~40 days. My ERC-20 and SPL USDC held on both @slope_finance and @TrustWallet were drained
El analista y autor de temas criptomonedas @0xfoobar confirmó que "el atacante está robando tanto tokens nativos (SOL) como tokens SPL (USDC)... afectando a carteras que han estado inactivas durante menos de 6 meses."
Al teorizar que podría tratarse de un "ataque a la cadena de suministro de dependencia ascendente", añadió que el consejo generalizado de revocar las aprobaciones de los monederos probablemente no sirva de nada: solo la transferencia a un monedero de hardware fuera de línea protegería los fondos.
"Estas transferencias de SOL y SPL son firmadas por los propios usuarios, no son transferidas por un tercero usando aprobaciones", explica @0xfoobar. "Así que, aunque se pueden revocar, es probable que algo haya causado el compromiso generalizado de la clave privada".
🚨 Widespread Solana private key compromise 🚨
- attacker is stealing both native tokens (SOL) and SPL tokens (USDC) - affecting wallets that have been inactive for >6 months - both Phantom & Slope wallets reportedly drained pic.twitter.com/AkZXOGLD0Q
"No hay manera de que una 'interacción' pueda hacer vulnerable una cartera", aclara además el cofundador de Solana Labs, Anatoly Yakovenko. "Sólo una delegación específica de tokens o una aprobación automática o una semilla filtrada podría transferir activos de una cartera en nombre del usuario. Dado que las transferencias del sistema están ocurriendo, eso descarta la delegación".
Only a token specific delegation or an auto approve or a leaked seed could transfer assets from a wallet on behalf of the user. Since system transfers are happening, that rules out delegation. There is no way an “interaction” could make a wallet vulnerable https://t.co/Pdrmjk1WYZ
