Come ormai ben noto, il 3 agosto dei malintenzionati sono riusciti a sottrarre circa 5 milioni di dollari di token SOL e SPL. I partecipanti all'ecosistema e le società di sicurezza stanno tentando di districare le complessità dell'evento.

Le società di revisione blockchain stanno ancora cercando di capire come gli hacker abbiano avuto accesso a circa 8.000 chiavi private utilizzate per svuotare i wallet basati su Solana. 

Collaborando a stretto contatto con Phantom e Slope.Finance – i due wallet provider prede degli exploit – il team di Solana ha compreso come molteplici chiavi private compromesse fossero direttamente collegate a Slope.

Otter Security e SlowMist, società di sicurezza e revisione blockchain, hanno assistito alle indagini in corso, illustrando i loro risultati a Cointelegraph.

Robert Chen, fondatore di Otter Security, ha condiviso con Solana e Slope le informazioni ottenute grazie all'accesso alle risorse interessate. Chen ha confermato che un sottoinsieme di wallet colpiti presentava le chiavi private in chiaro sui server di registrazione Sentry di Slope:

"L'ipotesi più accreditata vuole che un aggressore abbia in qualche modo esfiltrato questi registri e sia stato in grado di utilizzarli per compromettere gli utenti. Si tratta di un'indagine ancora in corso e le prove attuali non giustificano tuttavia tutti gli account compromessi".

Chen ha inoltre dichiarato a Cointelegraph che nell'istanza di Sentry sarebbero state trovate circa 5.300 chiavi private non facenti parte dell'exploit. Quasi la metà di questi indirizzi contiene ancora dei token e gli utenti sono stati esortati a spostarli, nel caso non l'avessero ancora fatto.

Dopo essere stato invitato ad analizzare l'exploit da Slope, il team di SlowMist è giunto ad una simile conclusione. Il team ha anche evidenziato come il Sentry service di Slope Wallet abbia raccolto la frase mnemonica e la chiave privata degli utenti, inviandola a o7e.slope.finance. Ancora una volta, SlowMist non è riuscito a trovare alcuna prova che spieghi come siano state sottratte le credenziali.

Cointelegraph ha contattato anche Chainalysis, che starebbe conducendo un'analisi della blockchain sull'incidente dopo aver condiviso i primi risultati online. La società di analisi blockchain ha anche notato che l'exploit ha colpito principalmente gli utenti che avevano importato account da o verso Slope.Finance.

Sebbene l'incidente assolva Solana dalla responsabilità dell'exploit, la situazione ha evidenziato la necessità di servizi di revisione dei wallet provider. SlowMist ha raccomandato che i wallet siano controllati da più società di sicurezza prima del rilascio, richiedendo che lo sviluppo sia effettuato in open source, al fine di aumentare la sicurezza.

Chen ha affermato che alcuni wallet provider abbiano preso sotto gamba la sicurezza delle cosiddette applicazioni decentralizzate. Infine, spera che l'incidente inviti gli utenti a verificare la validità dei wallet, e che questi ultimi vengano convalidati da partner di sicurezza esterni.