Que s’est-il passé exactement lors du piratage financier de Slope ?

Que s'est-il passé exactement lors du piratage financier de Slope ?
Retour à l'accueil > Actus Crypto > Que s’est-il passé exactement lors du piratage financier de Slope ?

Il n’a fallu que quatre heures à un ou plusieurs pirates pour voler 9 231 portefeuilles Slope de SOL et d’autres cryptomonnaies d’une valeur d’environ 4,1 millions de dollars. Un jour plus tard, la vulnérabilité a été attribuée à Slope Finance, un fournisseur de portefeuille Solana, où les pirates ont eu accès aux mots de passe des clients ainsi qu’à leurs portefeuilles.

Le piratage n’était en aucun cas le plus important, mais c’était la facilité d’accès aux informations sur les clients qui en faisait se gratter la tête. Tout ce que les attaquants avaient à faire était de trouver la clé qui déverrouillait la porte dérobée vers les serveurs de Slope. Il n’a même pas fallu beaucoup de connaissances en matière de systèmes informatiques pour y accéder.

Vous trouverez ci-dessous comment s’est déroulé le hack financier de Slope.

2 août 2022

22h37 heure UTC, un mardi. Alors que les utilisateurs de Solana ont commencé à remarquer que leurs fonds disparaissaient de leur portefeuille et à en parler sur Twitter, le moulin à rumeurs s’est rapidement mis en marche. La blockchain Solana a-t-elle été compromise ? Le problème était-il avec Phantom, un fournisseur de portefeuille Solana ? Ou était-ce avec un autre fournisseur de portefeuille Solana, Slope ? L’ensemble de l’écosystème Solana était-il en danger ? Pourquoi seuls certains hot wallets, ceux connectés à Internet, ont-ils été concernés et pas d’autres ? Pourquoi pas les portefeuilles rigides et ceux des bourses centralisées ?

Aux premières heures de la journée du 3 août, un tweet est venu du camp de Solana. « Des ingénieurs de plusieurs écosystèmes, avec l’aide de plusieurs sociétés de sécurité, enquêtent sur les portefeuilles épuisés sur Solana. Il n’y a aucune preuve que les portefeuilles matériels soient affectés. Ce fil sera mis à jour à mesure que de nouvelles informations seront disponibles.

« Nous travaillons en étroite collaboration avec d’autres équipes pour aller au fond d’une vulnérabilité signalée dans l’écosystème Solana », a tweeté Phantom, un autre fournisseur de portefeuille Solana. « Pour le moment, l’équipe ne pense pas qu’il s’agisse d’un problème spécifique au Phantom.

Ce que les gens pensent s’est produit

Anatoly Yakovenko, le cofondateur de Slope, a d’abord évoqué la possibilité d’une « attaque de la chaîne d’approvisionnement », dans laquelle les pirates auraient pu accéder aux portefeuilles de Slope grâce à un bug dans la technologie d’un autre fournisseur de services, peut-être chez Apple.

Il y avait un flot d’incertitudes et de théories non testées à ce stade, mais la plupart des analystes en sécurité, qui ont été embauchés par les entreprises concernées ou par des justiciers d’Internet, ont convenu que la meilleure chose à faire était que les propriétaires des portefeuilles concernés déplacent immédiatement leurs pièces hors ligne. à un portefeuille matériel ou à un portefeuille d’échange centralisé, tous deux apparemment non affectés par le piratage.

« Les portefeuilles épuisés doivent être traités comme compromis et abandonnés », a tweeté Solana.

Slope, le fournisseur de portefeuille Solana, qui devenait le coupable le plus probable de la violation de données, a également publié sa première déclaration officielle :

« Voici ce que nous savons à ce stade concernant les violations de notre base d’utilisateurs :

  • Une cohorte de portefeuilles Slope a été compromise lors de la brèche
  • Nous avons quelques hypothèses quant à la nature de la brèche, mais rien n’est encore définitif.
  • Nous ressentons la douleur de la communauté et nous n’étions pas à l’abri. Une grande partie de nos collaborateurs et des portefeuilles des fondateurs ont été épuisés.»

Internet n’a pas eu de mots gentils à cet égard. Et peu de temps après, Slope a été confirmé comme le vecteur de l’attaque, qui n’avait rien à voir avec la blockchain Solana, bien que divers médias l’aient initialement qualifié de « hack Solana ».

Que s’est-il réellement passé

Ce qui a d’abord dérouté les enquêteurs, c’est la vidange des portefeuilles Slope. et Portefeuilles fantômes, deux fournisseurs de portefeuilles complètement différents, qui ont souligné une possible violation de Solana à l’échelle du système. Mais cela s’expliqua facilement lorsque tout fut révélé.

Le ou les pirates ont accédé au serveur Slope où, en raison d’un bug dans le code, les mots de passe des utilisateurs étaient automatiquement stockés. Les pirates ont d’une manière ou d’une autre pris connaissance, ou ont été mis au courant, de ce trésor de mots de passe appartenant à des clients de Slope qui utilisaient les mêmes mots de passe pour leurs portefeuilles Phantom.

L’explication technique d’Ottersec, un cabinet d’audit blockchain engagé par Slope, était la suivante :

« Nous avons confirmé de manière indépendante que l’application mobile de Slope envoie des mnémoniques via TLS à leur serveur Sentry centralisé. Ces mnémoniques sont ensuite stockés en texte brut, ce qui signifie que toute personne ayant accès à Sentry peut accéder aux clés privées des utilisateurs.

En clair, cela signifie que les mots de passe des clients ont été envoyés par erreur à un serveur auquel un pirate informatique, ou n’importe qui d’ailleurs, y avait accès.

« Les transactions en chaîne montrent que les clés privées des portefeuilles concernés ont été divulguées ou compromises et ont été utilisées pour signer des transactions malveillantes », telle est la dernière découverte officielle de Solana.

Prise rapide

Qu’est-ce qu’un portefeuille chaud ?

Un hot wallet est un portefeuille de crypto-monnaie toujours connecté à Internet. Les portefeuilles Web et pour téléphones mobiles sont des portefeuilles populaires. Généralement, ces portefeuilles sont plus faciles et plus pratiques à utiliser pour envoyer et échanger des crypto-monnaies, mais ils sont plus vulnérables aux attaques en ligne, car les pirates peuvent accéder à votre portefeuille via votre téléphone ou votre ordinateur.

Et un portefeuille froid ?

Un portefeuille matériel, par exemple, est un portefeuille froid, étant donné qu’il n’est pas connecté à Internet, ce qui signifie qu’il n’y a aucun moyen pour un pirate informatique d’accéder à votre crypto autre que de mettre la main physiquement sur votre appareil et/ou votre phrase de départ. De nombreuses bourses, dont , stockent également la majorité des crypto-monnaies de leurs clients dans des portefeuilles froids, également appelés chambres froides.

  • En savoir plus
    Comment stocke-t-il en toute sécurité la cryptographie des clients ?

Slope a proposé une offre de prime de 10 % pour le retour en toute sécurité des pièces, dans l’idée de restituer le SOL à ses clients.

« Nous demandons à l’attaquant de restituer 90 % des fonds volés dans les 48 heures suivant 20h30 UTC le 5 août 2022. Dès réception de ces fonds, nous ne ferons aucun effort supplémentaire pour enquêter sur cette affaire, ni engager de poursuites judiciaires », a déclaré Slope. .

L’appel est resté sans réponse.

Une conclusion

« Les enquêtes des auditeurs touchent à leur fin et nous pensons qu’il est désormais approprié de fournir des mises à jour régulières », a déclaré Slope le 11 août.

L’entreprise a confirmé une fois de plus ce qui avait déjà été communiqué par les cabinets d’audit et d’autres personnes sur Twitter.

Solana a de nouveau souligné qu’il s’agissait d’une brèche isolée. « Aucun code de base lié à Solana Labs, à la Fondation Solana ou à quoi que ce soit lié au protocole Solana lui-même n’a été impliqué dans cette attaque. Il ne s’agissait pas d’une vulnérabilité au niveau du protocole », a déclaré la société.

Phantom a déclaré le 9 août que l’équipe n’avait trouvé aucune preuve que ses systèmes avaient été compromis lors de l’attaque. « Bien que certains utilisateurs de Phantom aient été concernés, dans chaque cas que nous avons examiné, nous avons constaté qu’ils avaient importé leurs phrases de départ/clés privées vers ou depuis un portefeuille non Phantom », a expliqué la société.

  • En savoir plus
    Comment puis-je protéger mes mots de passe  ?

Quant à Slope, ils n’ont pas encore trouvé de preuves « concluantes » permettant de lier la vulnérabilité à l’exploit, a déclaré la société, mais a ajouté que l’existence même de cette vulnérabilité mettait de nombreux actifs en danger. « Nous n’aurions jamais dû laisser cela se produire », a déclaré l’entreprise. La première phrase laisse beaucoup à l’interprétation.

Cela pourrait-il signifier que quelqu’un a eu accès au serveur et aux mots de passe sans même être au courant du bug ? Une autopsie complète est actuellement en cours et tout sera dit une fois qu’elle sera terminée, déclare Slope.

Écrit par Leo

Rédacteur en chef sur Cryptopump depuis 2022. Premier pied crypto en 2017.

Dans la même catégorie