Estamos empezando a obtener respuestas sobre el hack a gran escala a miles de wallets Solana, que vio cómo se robaban criptomonedas por valor de 4,5 millones de dólares de varios miles de usuarios. Pero el martes por la noche, hubo un interesante giro de eventos: algunos usuarios trataron de luchar contra los atacantes a través de la fuerza bruta.
Durante las primeras horas del hackeo -que ahora se atribuye a un exploit vinculado a la wallet Slope-, desarrolladores y auditores de seguridad se reunieron para tratar de averiguar qué estaba ocurriendo y cómo podrían mitigar los efectos del hack. Al parecer, un desarrollador no identificado sugirió una solución que podría impedir a los atacantes.
Según SolBlaze, el fundador seudónimo de un grupo de staking de Solana del mismo nombre, el desarrollador propuso utilizar un script creado previamente que "intentaría bloquear por escritura las cuentas de los atacantes, ralentizando sus transacciones".
Esencialmente, cualquier transacción que haga un cambio en una cuenta en la blockchain de Solana -como un cambio de saldo- pondrá un breve bloqueo de escritura en esa cuenta, explicó Michael Hubbard, fundador y director general del operador de validación de Solana, Laine.
"El desarrollador pensó que podría desencadenar bloqueos de escritura constantes en las cuentas del hacker", dijo Hubbard, "impidiendo así que las transacciones del hacker se ejecutaran con éxito".
Explorer rpcs hit an odd bug. A grey hat hacker tried to dos the hackers wallets and sent a flood of malformed txs. When users clicked into them on the explorer there was an explorer specific parser bug and that rpc would crash.
— SMS aey.sol, 🇺🇸 (@aeyakovenko) August 3, 2022
Un número desconocido de hackers de sombrero blanco (o quizás de sombrero gris) utilizó el script del desarrollador para enviar por correo electrónico lo que el cofundador de Solana, Anatoly Yakovenko, ha descrito como transacciones "malformadas" a las cuentas de los hackers. Fue similar a un ataque de denegación de servicio distribuido o DDoS.
SolBlaze cree que al menos entre cinco y diez usuarios participaron en la campaña de spam, pero el script se compartió con unos cientos de personas, por lo que podrían haber sido más.
La técnica puede haber ayudado, al menos en parte. SolBlaze dijo que sólo 300 carteras se vieron afectadas por el exploit de drenaje durante la hora que los bots de spam corrieron, en comparación con alrededor de 2.000 por hora antes. "Tenemos pruebas significativas de que este envío de spam ralentizó al hacker", dijeron.
Sin embargo, también causó un gran problema: Los servidores RPC, que facilitan el tráfico de la red, empezaron a colapsar como resultado. Hubbard dijo que esto no fue un movimiento intencionado. En su lugar, el proceso descubrió un error relacionado con la forma en que los servidores RPC gestionan las solicitudes, lo que provocó que algunos servidores se colapsaran. Yakovenko tuiteó que había creado un parche para resolver el problema.
Con algunos servidores RPC caídos, a los usuarios les resultó difícil acceder a la red Solana, y las herramientas de exploración de blockchain también tuvieron problemas. Esto podría haber frenado a los atacantes, pero también afectó a muchas otras personas, incluidos los usuarios que querían transferir fondos y los desarrolladores y especialistas en seguridad que intentaban diagnosticar el ataque.
"Esto dificultaba el uso de exploradores para rastrear las transacciones del atacante, y también dificultaba que la gente moviera sus fondos de su cartera a un lugar más seguro", dijo SolBlaze a Decrypt. Dijeron que los representantes de Solana Labs y los proveedores de RPC pidieron a la gente en su "sala de guerra" que dejaran de enviar transacciones a las wallets del atacante.
La página de estado de Solana señala que la propia blockchain de Solana permaneció en línea durante la situación, pero que algunos nodos RPC y la funcionalidad del explorador se vieron obstaculizados. Aun así, hubo muchos tuits burlones sobre la estabilidad de la red Solana, recordando las ocasiones pasadas en las que Solana realmente se tambaleó y se estrelló.
lmao you can't make this up - some madlad started DOSing the hacker which caused the RPC nodes to start failing
FYI - the chain is fine pic.twitter.com/AzbEvFLft4
— mert | Helius ☀ (@0xMert_) August 3, 2022
"El FUD en Twitter fue un poco exagerado sobre la detención de la cadena", dijo a Decrypt el ex ingeniero de Coinbase y cofundador de Helius, Mert. "FUD" es un acrónimo de "fear, uncertainty, and doubt" (miedo, incertidumbre y duda), y se suele utilizar para describir las críticas antagónicas, o la desinformación deliberada, de los rivales en el espacio de las criptomonedas.
Finalmente, los servidores RPC fueron parcheados y volvieron a estar en línea, y los problemas de acceso en torno a la red Solana cesaron. Los desarrolladores y los expertos en seguridad continuaron trabajando para averiguar la causa de los problemas, y esta tarde, la Fundación Solana culpó a un exploit vinculado a la cartera de software móvil, Slope.
El spam de transacciones tipo DDoS causó algunos daños colaterales temporales, a pesar de los objetivos aparentemente constructivos, pero SolBlaze sugiere que fue una campaña beneficiosa en general.
"Creemos que hubo un impacto positivo neto, sin embargo", dijeron, "ya que el atacante fue obstaculizado significativamente".