Slope et Phantom nient être en cause dans le récent hack de Solana (SOL)
La lumière peine à se faire sur le hack de Solana qui date maintenant d'une semaine. De son côté, Phantom affirme n'avoir aucune faille de sécurité à déplorer, et Slope, du sien, révèle avoir trouvé une vulnérabilité dans ses services, mais émet un doute quant à son rapport avec le hack dans sa globalité.
le 11 août 2022 à 18:00.
2 minutes de lecture
Phantom affirme n'avoir trouvé aucune faille de sécurité dans son système
Une semaine après le hack à plus de 4 millions de dollars sur la blockchain Solana (SOL) qui aurait touché pas moins de 9 000 wallets différents et dont la cause est toujours inconnue, Phantom, un des wallets concernés, affirme n'avoir aucune faille à déplorer.
1/ After almost a week of investigation, our team has not found any evidence that Phantom's systems were compromised during the August 2nd security incident.
Work is still ongoing, but given the seriousness of the situation, we want to give an update on what we have done so far.
— Phantom (@phantom) August 9, 2022
« Après presque une semaine d'enquête, notre équipe n'a trouvé aucune preuve que les systèmes de Phantom ont été compromis lors de l'incident de sécurité du 2 août. »
Selon le communiqué, Phantom aurait subi plusieurs audits de la part d'OtterSec et de Halborn Security, 2 entreprises indépendantes spécialisées dans l'audit blockchain, lesquelles n'ont eu aucune faille à signaler à ce jour.
Une déclaration qui fait sens, corroborant les dires des équipes techniques de Solana selon lesquels les adresses concernées ont à un moment ou à un autre interagi avec l'application mobile du wallet de Slope.
? À lire : Comment acheter du Bitcoin en 2022 ? Faites-vous guider étape par étape
Recevez un bonus de 50 € en créant un compte sur Bitpanda 🐼 !Slope dans une situation plus compliquée
Dans un communiqué délivré en date du 11 août, Slope reconnaît avoir trouvé une faille de vulnérabilité dans l'un de ses services sur la période du 28 juillet au 3 août. Plus précisément, la faille en question aurait permis « d'enregistrer par inadvertance » des données sensibles dans le cas de figure où les applications généraient un message d'erreur.
Toutefois, selon Slope, bien que les dates coïncident, cette faille n'est pas responsable du hack que nous avons pu observer. Ainsi, nous pouvons lire dans le communiqué :
« Comme l'ont confirmé les précédents rapports intermédiaires d'Ottersec, l'équipe d'enquête a procédé à une comparaison croisée de toutes les adresses piratées (9 232 adresses au total) et de toutes les adresses exposées à la vulnérabilité de la base de données Sentry : Le nombre d'adresses piratées est plus important que le nombre total d'adresses exposées par le serveur Sentry. Une fraction (1 444 adresses) de l'exposition totale du serveur Sentry a été confirmée vidée. »
En d'autres termes, le nombre de wallets impactés par la faille en question chez Slope est inférieur au nombre de wallets piratés au total.
Notons tout de fois que le Sentry Service évoqué ici par Slope fait référence au dossier sur lequel les seed phrases des différents wallets se trouvaient. Un rapport d'OtterSec en date du 4 août indiquait que les phrases mnémoniques s'y trouvant n'étaient pas cryptées et étaient inscrites en texte lisible.
À cela, Slope répond qu'il est peu probable que le hacker ait eu accès aux clés en question, le dossier étant sécurisé par une authentification à 3 facteurs et un cryptage HTTPS.
Le 5 août, Slope avait également fait un communiqué promettant 10 % de récompense au hacker s'il se décidait à retourner les fonds sous 2 jours.
? Dans l'actualité : Le protocole DeFi Curve Finance subit une attaque à 570 000 dollars sur le frontend de son site
Le livre de Cryptoast pour tout comprendre aux cryptosSource : Slope
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
En tant que rédacteur en chef de Cryptoast, je m'engage à rendre le monde des cryptomonnaies et du Web3 accessible à tous. Expert dans l'identification des actualités les plus pertinentes, j'accorde une grande importance à la qualité des articles produits par Cryptoast. Je m'assure que nos lecteurs bénéficient d'informations fiables, vérifiées et présentées de manière claire et agréable à lire. Mon objectif est de partager des connaissances de qualité pour mieux informer et éduquer notre audience sur cet univers en constante évolution.
Maximilien Prué
1314 articles
