Solanaの大規模ハッキング、「Slope」が脆弱性認める

Solana（ソラナ）基盤の暗号資産ウォレット「Slope（スロープ）」は8月11日、3日から起きたSolanaブロックチェーン上で起きた大規模なハッキングによる不正流出被害についての調査結果を発表した。アプリケーション監視サービスに脆弱性があったことは認めたが「すべてのセキュリティー層（送信や保存など）が侵害されたことを示す証拠はない」と述べた。

【関連記事】
Solanaの大規模ハッキング解説　Slopeウォレットが原因か

Slopeはハッキング発生当日から、原因究明と資産回収に尽力したとのこと。監査機関のOtterSecとSlowMist、サイバー犯罪対策企業のTRMとともに調査し、まもなくすべて調べ終わるという。

調査によると、7月28日から8月3日の間、スマートフォンのSlopeウォレットのSlopeオンプレミス第三者アプリケーション監視サービスに脆弱性があり、アプリがエラーイベントを生成した場合に誤って機密データをログに記録。送信や保存などのすべてのセキュリティー層が侵害されたことを示す証拠はないが、サードパーティーアプリケーション監視サーバーへの送信はすべてHTTPSエンドツーエンド暗号化で保護されており、サーバーへのアクセスは3ファクタ認証で制御されているという。

調査では、ハッキングされた計9232のアドレスと、サードパーティーアプリケーションモニタリングデータベースの脆弱性から露出したすべてのアドレスを相互比較。ハッキングされたアドレスの数は、サードパーティーアプリケーションモニタリングサーバーから公開されたアドレスの総数より多く、総アドレスのうち、クロス比較で排出されたのは一部の1444アドレスであることが確認できたという。

Slopeの脆弱性がハッキングに関連付けられる決定的な証拠はないが、存在自体が多くの資産を危険にさらすことになったと認めた。一方、追加の脆弱性は見つかっておらず、更新された最新版のSlope Walletは安全に使用できるとも述べた。

ハッキングでは、Slopeのほか、「Phantom（ファントム）」など複数のウォレットアプリで被害が報告されている。ブロックチェーン監視サービスの「PeckShieldAlert」によると、実質的な被害総額は約10.8億円規模とのこと。被害発生当初はPhantomのシステムやSolanaシステム自体の脆弱性ではないかとの声もあったが、4日にSolana財団の運営する「Solana Status」が、Slopeウォレットの秘密鍵が流出したことが原因だと発表している。