Hack gegen Solana-Geldbörsen: Suche nach Exploit führt zu Walletanbieter Slope

Unbekannte konnten tausende Wallets des Kryptogelds Solana plündern. Laut ersten Analysen lag es an der Walletsoftware Slope, die private Keys kompromittierte.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 92 Beiträge

(Bild: Sasun Bughdaryan/Shutterstock.com)

Von
  • Axel Kannenberg

Im Fall der ausgeplünderten Wallets für die Kryptowährung Solana könnte die Ursache bei der Wallet-Software Slope gelegen haben. Eine erste Untersuchung habe ergeben, dass die betroffenen Adressen wohl alle entweder mittels Slopes mobiler Walletanwendung erzeugt und dann gegebenenfalls woanders hin importiert wurden, oder dass sie zumindest schon einmal zeitweise innerhalb dieser App verwaltet wurden, teilten die Macher von Solana mit.

Offenbar kam es dann durch Slope zu einer unabsichtlichen Übertragung privater Schlüssel an einen Dienst zur Überwachung der Anwendung, führt das Solanaprojekt aus. Um welchen Dienst es sich dabei handelt und ob die Angreifer dort die Schlüssel abgreifen konnten, blieb offen. Details würden derzeit noch untersucht. Weder Protokoll noch Kryptografie von Solana seien in dem Fall kompromittiert, betonte Solana.

Slope hat inzwischen zumindest einen Teil der Schuld auf sich genommen. Eine Untersuchung der beauftragten Sicherheitsfirma Ottersec habe gezeigt, dass Slopes Mobilwallet kryptografische Seeds mit TLS-Transportverschlüsselung an einen eigenen Server weitergeleitet habe. Dort seien sie dann laut Ottersec im Klartext in Logfiles abgelegt worden. Jeder mit Zugang zum Server hätte sich also bedienen können. Aus der kryptografischen Seed einer Wallet lassen sich alle verwendeten Schlüssel ableiten und damit auch alle zugeordneten Guthaben kontrollieren.

Allerdings seien nur 1400 der im Hack geplünderten Adressen auch auf dem Slope-Server zu finden gewesen, führte Ottersec aus. Betroffen seien aber noch weitaus mehr Adressen. Diese Diskrepanz und weitere mögliche Angriffsvektoren untersuche man noch. Ebenfalls seien auch noch über 5300 private Keys zu Adressen auf dem Server befindlich, die noch nicht leergeräumt wurden. Slope-Nutzer sollten also umgehend ihre Guthaben auf neue Wallets transferieren.

Slope fügte dem noch hinzu, dass man die serverseitige Speicherung sofort abgestellt habe, sobald diese "Sicherheitslücke entdeckt worden war". Wie es dazu kommen konnte, dass sich Slopes Walletapp im Grunde wie eine Malware verhielt, blieb leider offen. Slope arbeite weiter mit Sicherheitsfirmen und der Solana Foundation daran, weitere mögliche Lücken aufzudecken. Bis die "Hauptursache" gefunden sei, raten auch die Slope-Entwickler zum Umzug auf neue Wallets mit frischer Seed.

Bei dem Hack wurden tausende Wallets am Dienstag und Mittwoch von Unbekannten geplündert. Laut Zahlen der Analyseplattform Solscan sind rund 10.500 Wallets betroffen, der Schaden wird auf umgerechnet über 8,5 Millionen US-Dollar beziffert. Die Angreifer konnten dabei Sicherheitsforschern zufolge einfach die Transaktionen durchführen, als wären sie die Besitzer der Wallets. Das legt die Kompromittierung privater Schlüssel nahe.

Der Wallet-Anbieter Phantom stützt die bisherigen Ergebnisse von Solana und Slope: Bei den bestohlenen Phantom-Nutzern seien wohl Accountimporte von und nach Slope-Wallets im Spiel gewesen. Auch eine Stellungnahme vom Walletdienst Solflare deutet in diese Richtung: Wer nur die Solflare-Wallet verwendet und auch keine kryptografische Seed von woanders her migriert habe, sei auf der sicheren Seite. Die mutmaßlichen Ursachen des Hacks fänden sich nicht in der Solflare-Wallet.

(axk)