💬 Как Solana Vigilantes боролась с взломщиком кошельков

Как Solana Vigilantes боролась с взломщиком кошельков

Мы начинаем получать ответы о крупномасштабном взломе кошелька Solana, в результате которого у нескольких тысяч пользователей были украдены криптовалюты на сумму почти 4,5 миллиона долларов. Но во вторник вечером произошла еще одна интересная ситуация: некоторые пользователи пытались дать отпор злоумышленникам с помощью грубой силы.

В первые часы взлома, в котором теперь обвиняют эксплойт, связанный с мобильным кошельком Slope, разработчики и аудиторы безопасности собрались вместе, чтобы попытаться выяснить, что происходит, и как они могут смягчить последствия. Один неизвестный разработчик, по-видимому, предложил решение, которое могло бы помешать злоумышленникам.

По словам SolBlaze, основателя одноименного пула ставок Solana под псевдонимом, разработчик предложил использовать ранее созданный скрипт, который «пытался бы заблокировать учетные записи злоумышленников, замедляя их транзакции».

По сути, любая транзакция, которая вносит изменения в учетную запись в блокчейне Solana (например, изменение баланса), на короткое время блокирует запись на эту учетную запись, пояснил Майкл Хаббард, основатель и управляющий директор оператора валидатора Solana, Laine. .

"Разработчики думали, что они могут активировать постоянную блокировку записи на учетных записях хакера, — сказал Хаббард, — тем самым препятствуя успешному выполнению транзакций хакера".

Explorer rpcs столкнулся со странной ошибкой. Хакер в серой шляпе попытался взломать кошельки хакеров и отправил поток искаженных txs. Когда пользователи нажимали на них в проводнике, возникала ошибка синтаксического анализатора, специфичная для проводника, и этот rpc аварийно завершал работу. — СМС T◎ly, ?? (@aeyakovenko) 3 августа 2022 г.

— СМС T◎ly, ?? (@aeyakovenko) 3 августа 2022 г.

Неизвестное количество белых (или, возможно, серых) хакеров использовали скрипт разработчика для рассылки спама, который соучредитель Solana Анатолий Яковенко назвал «искаженными» транзакциями на учетные записи хакеров. Это было похоже на распределенную атаку типа «отказ в обслуживании» или DDoS-атаку.

SolBlaze считает, что в спам-кампании участвовало не менее пяти-десяти пользователей, но сценарий был передан нескольким сотням человек, так что их могло быть и больше.

Этот метод вполне мог помочь, по крайней мере, в одном отношении. SolBlaze сказал, что только 300 кошельков были затронуты эксплойтом слива в течение часа, когда спам-боты работали, по сравнению с примерно 2000 в час до этого. «У нас есть серьезные доказательства того, что эта рассылка спама замедляла работу хакера», — заявили они.

Однако это вызвало и большую проблему: в результате начали падать серверы RPC, которые облегчают сетевой трафик. Хаббард сказал, что это не было преднамеренным шагом. Вместо этого в процессе была обнаружена ошибка, связанная с тем, как RPC-серверы обрабатывают запросы, что приводило к сбою некоторых серверов. Яковенко написал в Твиттере, что создал патч для решения проблемы.

ПОЖАЛУЙСТА, НЕ DDOS RPC-СЕРВЕРА! СОЛАНЕ И РАЗРАБОТЧИКАМ ТОЛЬКО УДОБНО ДИАГНОСТИРОВАТЬ ПРОБЛЕМУ. — SolBlaze.org | Ставьте с нами! (@solblaze_org) 3 августа 2022 г.

— SolBlaze.org | Ставьте с нами! (@solblaze_org) 3 августа 2022 г.

Из-за того, что некоторые RPC-серверы не работали, пользователям стало сложно получить доступ к сети Solana, а инструменты обозревателя блокчейна также столкнулись с трудностями. Возможно, это замедлило работу злоумышленников, но затронуло и многих других людей, в том числе пользователей, пытавшихся перевести средства, а также разработчиков и специалистов по безопасности, пытавшихся диагностировать атаку.

«Из-за этого было сложно использовать обозреватели для отслеживания транзакций злоумышленника, а людям было сложно перевести свои средства из своего кошелька в более безопасное место», — сказал SolBlaze Decrypt. Они сказали, что представители Solana Labs и поставщиков RPC попросили людей в их «военной комнате» прекратить рассылку спама транзакциями на кошельки злоумышленника.

На странице статуса Solana отмечается, что сама цепочка блоков Solana оставалась в сети во время этой ситуации, но некоторые узлы RPC и функции проводника были затруднены. Несмотря на это, было много насмешливых твитов о стабильности сети Solana, восходящих к прошлым случаям, когда Solana действительно давала сбои и терпела крах.

Ямао, вы не можете это выдумать - какой-то сумасшедший начал использовать DOS для хакера, что привело к сбою узлов RPC. К вашему сведению — с цепочкой все в порядке pic.twitter.com/AzbEvFLft4 — Мерт | Гелиус ☀ (@0xMert_) 3 августа 2022 г.

К вашему сведению — с цепочкой все в порядке pic.twitter.com/AzbEvFLft4

— Мерт | Гелиус ☀ (@0xMert_) 3 августа 2022 г.

«FUD в Твиттере был немного преувеличен из-за остановки цепочки», — сказал Decrypt бывший инженер Coinbase и соучредитель Helius Мерт. «FUD» — это аббревиатура от «страх, неуверенность и сомнение». Обычно его используют для описания враждебной критики или преднамеренной дезинформации со стороны конкурентов в криптопространстве.

В конечном счете серверы RPC были исправлены и снова подключены к сети, а проблемы с доступом к сети Solana устранены. Разработчики и эксперты по безопасности продолжали работать над выяснением причин проблем, и сегодня во второй половине дня Solana Foundation обвинил эксплойт, связанный с мобильным программным кошельком Slope.

Рассылка транзакционного спама в стиле DDoS нанесла некоторый временный побочный ущерб, несмотря на явно конструктивные цели, но SolBlaze предполагает, что в целом это была полезная кампания.

"Однако мы считаем, что это имело чистое положительное влияние, — сказали они, — поскольку злоумышленнику было значительно затруднено".