Peristiwa godaman Slope – apa yang berlaku sebenarnya?

4 hari – hanya empat hari sahaja diperlukan untuk sekumpulan hackers atau penggodam mencur 9,231 dompet Slope dan kripto-kripto lain bernilai sekitar $4.1 juta. Esoknya, punca yang menyebabkan insiden tersebut ialah Slope, sebuah penyedia dompet bagi Solana. Penggodam berjaya mendapatkan akses terhadap kata laluan pelanggan dan tidak lama kemudian, dompet mereka.

Berdasarkan semua sejarah godaman matawang kripto, insiden ini bukanlah yang terbesar, namun begitu, apa yang membuatkan ramai menggaru kepala masing-masing ialah bagaimana penggodam berjaya mendapatkan akses terhadap maklumat pelanggan dengan mudah.

Mari kita rungkaikan bagaimana Slope digodam.

2 Ogos 2022

Jam 11:37 PM waktu UK, Selasa – Pengguna Solana mula menyedari yang wang mereka hilang dari dompet dan melaporkannya di Twitter, dan khabar angin mula tersebar. Adakah rantaian blok Solana telah diceroboh? Adakah Phantom, penyedia dompet Solana mengalami masalah? Atau terdapat masalah dengan penyedia dompet Solana lain, iaitu Slope? Adakah seluruh ekosistem Solana dalam risiko? Mengapa hanya beberapa hot wallet, yang dihubungkan dengan internet sahaja yang terkesan, dan bukan dompet lain? Mengapa hard wallet dan Solana yang disimpan di bursa berpusat tidak mengalami apa-apa kesan? Soalan mula membanjiri khabar angin ini.

3 Ogos 2022

Awal pagi, satu ciapan dihantar dari kem Solana. “Para jurutera daripada pelbagai ekosistem, dengan bantuan daripada beberapa firma keselamatan sedang menyiasat masalah kehilangan Solana dari dompet. Terdapat tiada bukti yang hardware wallet terkesan. Bebenang ini akan dikemaskini apabila maklumat baru tersedia.”

“Kami sedang bekerja keras bersama pasukan lain untuk mencari punca terjadinya kelemahan terhadap ekosistem Solana ini,” menurut ciapan Phantom, penyedia dompet Solana lain. “Pada masa ini, pasukan yang terlibat tidak merasakan yang isu ini spesifik terhadap Phantom.”

Apa yang didengar

Anatoly Yakovenko, pengasas bersama Slope, telah membangkitkan kemungkinan terdapatnya “serangan rantaian bekalan”, dimana penggodam mendapat akses terhadap dompet Slope melalui bug daripada teknologi penyedia perkhidmatan lain – kemungkinan melalui Apple.

Pelbagai teori dan khabar angin terus membanjiri isu ini, tetapi kebanyakan penganalisa keselamatan, yang sama ada bekerja di syarikat yang terkesan, atau vigilante internet, bersetuju yang perkara terbaik perlu dilakukan oleh pemilik dompet yang terkesan ialah memindahkan dengan segera koin mereka secara offline ke hardware wallet atau dompet di bursa berpusat, yang nampaknya tidak terkesan dengan godaman tersebut.

“Dompet yang terkesan perlu dianggap sebagai telah diceroboh, dan ditinggalkan,” ciapan Solana.

Slope, penyedia dompet Solana, yang menjadi suspek utama dalam masalah kebocoran data ini, turut mengeluarkan kenyataan rasmi pertama mereka:

“Berikut apa yang kami tahu mengenai pelanggaran pencerobohan pangakalan data pengguna kami:

• Satu kohort dompet Slope telah diceroboh
• Kami mempunyai beberapa hipotesis terhadap sifat pencerobohan ini, tetapi masih belum disahkan lagi
• Kami memahami kesan yang dialami oleh komuniti dan kami juga turut terkesan. Dompet milik kakitangan serta pengasas kami turut terkesan.”

Selepas kenyataan rasmi tersebut diterbitkan, netizen tidak berdiam diri. Tidak lama selepas Slope mengesahkan yang mereka merupakan mangsa serangan tersebut, pelbagai media mula melaporkan insiden tersebut sebagai “Godaman Solana” walaupun ia tidak mempunyai sebarang kaitan dengan rantaian blok Solana.

Apa sebenarnya berlaku?

Perkara yang mencetuskan kecurigaan penyiasat ialah tindakan pengosongan dompet Slope dan Phantom – dua penyedia dompet yang berbeza. Ini telah menunjukkan terdapat kemungkinan adanya pencerobohan Solana besar-besaran dalam sistemnya.

Kumpulan penggodam tersebut mendapat akses ke server Slope disebabkan oleh terdapatnya bug di dalam kod yang menyimpan kata laluan pengguna secara automatik. Kumpulan penggodam tersebut tiba-tiba menyedari yang (atau memang menyedari) ini merupakan ‘peti harta karun’ kata laluan milik pelanggan Slope, dan ada beberapa pengguna yang turut menggunakan kata laluan yang sama untuk dompet Phantom mereka.

Berikut merupakan penjelasan teknikal daripada Ottersec, sebuah firma pengaudit rantaian blok yang telah dilantik oleh Slope:

“Kami secara bebas ingin mengesahkan yang aplikasi mudah alih Slope telah menghantar mnemonik melalui TLS kepada server Sentry berpusat mereka. Mnemonik ini kemudian disimpan dalam bentuk plaintext, bermaksud sesiapa sahaja yang mempunyai akses ke Sentry boleh mengakses kunci peribadi pengguna.”

Secara mudah, ini bermaksud yang kata laluan pelanggan telah tersilap hantar ke server yang penggodam atau sesiapa yang terlibat, mempunyai akses terhadapnya.

“Transaksi atas rantaian menunjukkan kunci peribadi milik dompet yang terkesan telah bocor atau diceroboh, dan digunakan untuk menandatangan transaksi mencurigakan,” menurut penemuan terbaru dan rasmi dari Solana.

We have independently confirmed that Slope’s mobile app sends off mnemonics via TLS to their centralized Sentry server.

These mnemonics are then stored in plaintext, meaning anybody with access to Sentry could access user private keys. pic.twitter.com/PkCFTeQgOP

— OtterSec (@osec_io) August 4, 2022

Info pantas

Apa itu hot wallet?

Hot wallet ialah dompet matawang kripto yang sentiasa dihubungkan dengan internet. Dompet berasaskan web atau telefon mudah alih ialah hot wallet. Secara amnya, dompet ini lebih ringkas dan lebih mudah digunakan untuk menghantar dan mendagangkan kripto, tetapi ia lebih terdedah terhadap serangan atas talian kerana penggodam boleh mendapat akses ke dompet anda melalui telefon atau komputer anda.

Apa itu cold wallet? 

Dompet perkakas adalah salah satu contoh cold wallet. Ia tidak dihubungkan dengan internet, oleh itu, penggodam tidak mempunyai sebarang jalan untuk mengakses kripto anda, selain daripada mencurinya secara fizikal. Terdapat banyak bursa, termasuklah Luno, menyimpan sebahagian besar kripto milik pelanggan menggunakan kaedah cold wallet, yang juga dikenali sebagai cold storage.

Slope menawarkan 10% ganjaran jika koin itu dipulangkan semula, dengan harapan mereka dapat memulangkan SOL tersebut kembali kepada pelanggan.

“Kami meminta penyerang menyerahkan 90% daripada dana yang dicuri dalam tempoh 48 jam dari 8h30pm UTC, 5 Ogos 2022. Sebaik sahaja resit dikeluarkan, kami tidak akan membuat sebarang usaha lanjut untuk menyiasat perkara ini, atau meneruskan tindakan undang-undang,” menurut Slope.

Tawaran itu sayangnya, tidak diendahkan.

Kesimpulan

“Penyiasatan pengaudit hampir mencapai kesimpulannya, dan kami merasakan masa ini adalah sesuai untuk memberikan kemaskini secara berkala,” menurut Slope pada 11 Ogos.

Syarikat tersebut mengesahkan sekali lagi apa yang telah dibincangkan oleh firma pengauditan serta individu-individu lain di Twitter.

Solana sekali lagi menyatakan yang insiden ini merupakan satu kes pencerobohan terpencil. “Tiada kod teras yang berkait dengan Solana Labs, Solana Foundation, atau apa-apa sahaja yang berkaitan dengan protokol Solana, terlibat dalam serangan ini. Kelemahan ini tidak terjadi di tahap protokol,” menurut syarikat tersebut.

Phanton juga ada mengatakan yang pada 9 Ogos, pasukan mereka tidak menemui sebarang bukti yang sistem mereka diceroboh ketika serangan berlaku. “Walaupun beberapa pengguna Phantom terkesan, kami telah menyemak setiap kes dan mendapati yang mereka telah mengimport fasa benih/kunci peribadi mereka kepada atau daripada dompet bukan milik Phantom,” lapor syarikat tersebut.

Dan bagi Slope, mereka masih lagi mencari bukti ‘konklusif’ untuk mengaitkan kelemahan yang berlaku dalam sistem mereka sehingga boleh dieksploit dan kewujudan kelemahan ini meletakkan banyak aset dalam bahaya. “Kami tidak sepatutnya membiarkan perkara ini terjadi,” ujar mereka.  

Adakah ini bermaksud yang seseorang telah mendapat akses ke server dan kata laluan tanpa mengetahui langsung wujudnya bug di situ? Post-mortem penuh sedang dilakukan, dan semuanya akan diberitahu apabila ianya selesai, menurut Slope.