

В Slope опровергли связь бага в кошельке со взломом Solana
Аудиторы не нашли "убедительных доказательств" связи уязвимости кошелька Slope со взломом адресов Solana на миллионы долларов, заявили разработчики приложения.
Slope update - 11 August, 2022https://t.co/ZLunzRIZcS— Slope (@slope_finance) August 11, 2022 3 августа неизвестные получили доступ к более чем 9000 кошелькам на базе сети. Предварительные оценки ущерба пользователей доходили до $8 млн.
В ходе расследования инцидента команда Solana пришла к выводу, что затронутые атакой адреса были "в какой-то момент созданы, импортированы или использовались в мобильных приложениях Slope".
Представители проекта Phantom, пользователи которого оказались в числе пострадавших от взлома, также заявили о связи эксплойта со Slope.
Команда кошелька совместно с аудиторами OtterSec и SlowMist, а также фирмой по борьбе с киберпреступностью TRM, начала собственное расследование.
"Проверяющие получили доступ ко всем базам и каналам данных, логам сервера и исходному коду приложений", — говорится в заявлении.
Хотя работа аудиторов еще не завершена, команда поделилась с сообществом важнейшими, на ее взгляд, выводами:
С 28 июля по 3 августа в имплементации сервиса оповещения разработчиков об ошибках в приложении от Sentry в мобильных кошельках Slope была обнаружена уязвимость. Баг непреднамеренно регистрировал конфиденциальные данные при формировании уведомлений.Нет доказательств, что скомпрометированы все уровни безопасности (например, передачи или хранения информации). Связь с сервером Sentry защищена сквозным шифрованием по протоколу HTTPS, а доступ контролируется трехфакторной аутентификацией.Количество взломанных адресов (суммарно 9232) превышает число переданных по каналу с Sentry. Из последних 1444 были удалены с сервера."Хотя у аудиторов
Читать на forklog.com
