งามไส้! Slope Wallet แอบบันทึก seed phrases ของผู้ใช้งานไปยังเซิฟเวอร์ของตนเอง

นักวิจัยด้านความปลอดภัยที่ Otter อ้างว่าพวกเขาได้ค้นพบสิ่งที่อาจเป็นสาเหตุของการโจรกรรมครั้งใหญ่ โดยตั้งเป้าไปที่กระเป๋าเงินดิจิทัลเกือบ 8,000 ใบในระบบนิเวศของ Solana

ในเช้าวันพฤหัสบดี Otter บริษัทรักษาความปลอดภัยที่เน้นตรวจสอบเครือข่าย Solana รายงานว่าแอปกระเป๋าเงินของ Slope ได้ส่ง seed phrases ของผู้ใช้ไปยังเซิร์ฟเวอร์แบบรวมศูนย์ โดย Slope จ้างเซิร์ฟเวอร์นี้จากบริษัทที่ชื่อ Sentry 

Seed phrases ที่ส่งไปยังเซิร์ฟเวอร์ของ Slope ถูกบันทึกในรูปแบบของข้อความปกติโดยไม่ได้เข้ารหัส  นั่นแปลว่าใครก็ตามที่เข้าถึงเซิร์ฟเวอร์ Sentry นี้โดยเฉพาะอาจเข้าถึงคีย์ส่วนตัวของผู้ใช้ได้ ซึ่งทำให้มาตรฐานความปลอดภัยที่ต่ำอาจนำไปสู่การโจรกรรมจากแฮกเกอร์ได้

“เราได้ยืนยันว่าแอปมือถือของ Slope ส่งตัวช่วยจำผ่าน TLS [Transport Layer Security] ไปยังเซิร์ฟเวอร์ Sentry ที่รวมศูนย์ของพวกเขา” นักวิจัย Otter เขียนในทวีต

We have independently confirmed that Slope’s mobile app sends off mnemonics via TLS to their centralized Sentry server.

These mnemonics are then stored in plaintext, meaning anybody with access to Sentry could access user private keys. pic.twitter.com/PkCFTeQgOP

— OtterSec (@osec_io) August 4, 2022

ในขณะเดียวกัน Slope ได้ออกแถลงการณ์ว่าไม่มีคำตอบที่ชัดเจนเกี่ยวกับสาเหตุของการส่ง seed phrases ออกไป  

“เรามีสมมติฐานบางประการเกี่ยวกับการละเมิดข้อมูลของผู้ใช้งาน แต่ยังไม่มีสิ่งใดที่แน่ชัดในตอนนี้” 

เพื่อเป็นมาตรการรักษาความปลอดภัย Slope ได้แนะนำให้ผู้ใช้ในอดีตทั้งหมดโอนเงินออกโดยสร้างกระเป๋าเงินใหม่ด้วย seed phrases อื่น ๆ 

อย่างไรก็ตามตามการวิเคราะห์แบบ on-chain ของ Otter ได้ประมาณการว่าจนถึงขณะนี้แฮกเกอร์ขโมยเงินไปแล้ว 4 ล้านดอลลาร์ แต่ยังคงไม่มีการเปิดเผยจากผู้ให้บริการ

Over $4M was drained from Solana wallets over the past 2 days. We’ve been working directly with @solana and @slope_finance to investigate.

Here’s what we found. pic.twitter.com/Ny1gwuJfIb

— OtterSec (@osec_io) August 4, 2022