सोलाना हैक के बारे में एक संक्षिप्त प्रवचन

2 अगस्त, 2022 को, सोलाना पारिस्थितिकी तंत्र एक हमले से प्रभावित हुआ, जिसने 8,000 वॉलेट को प्रभावित किया और उन्हें SOL और SPL टोकन में $ 5 मिलियन से अधिक का नुकसान हुआ।

क्रिप्टो वॉलेट हैकिंग

यदि आप किसी दुर्भावनापूर्ण लेन-देन पर हस्ताक्षर करते हैं या अपनी निजी चाबियों को उजागर करते हैं, तो आपके वॉलेट से छेड़छाड़ की जा सकती है। इसलिए, आपको अपनी सुरक्षा के लिए केवल अपनी चाबियों को सुरक्षित रखना है और स्केच लेनदेन पर हस्ताक्षर करने से बचना है। काफी आसान लगता है, है ना? गलत।

वॉलेट हैक और नालियों से जुड़े क्रिप्टो घोटाले सोशल इंजीनियरिंग सहित विभिन्न हैकिंग तकनीकों को नियोजित करते हैं। चल रही थीम लोगों को अपने वॉलेट को दुर्भावनापूर्ण साइटों, प्रोटोकॉल और डीएपी से जोड़ने और लेनदेन पर हस्ताक्षर करने के लिए प्रेरित करना है।

ऐसे मामलों में जहां लेन-देन पर हस्ताक्षर करने के लिए लक्ष्य नहीं बनाया जा सकता है, कार्रवाई की निम्नलिखित पंक्ति उनकी निजी कुंजी तक पहुंच प्राप्त करना है। आपकी निजी चाबियों से समझौता किया जा सकता है यदि किसी तीसरे पक्ष के पास इसकी पहुंच है, उदाहरण के लिए, यदि आप उन्हें अपने डिवाइस पर या इलेक्ट्रॉनिक प्रारूप में संग्रहीत करते हैं।

सोलाना हैक

सोलाना को हैक नहीं किया गया था, और यह एक सुरक्षित ब्लॉकचेन बना हुआ है। सोलाना हैक ने गलती से 8,000 पर्स के समझौते को संदर्भित किया, जिसके कारण लगभग 5 मिलियन डॉलर की धनराशि का नुकसान हुआ। एक बार जब यह स्पष्ट हो गया कि एक हैक चल रहा था, तो समुदाय को किसी भी प्रोटोकॉल से किए गए सभी विश्वसनीय कनेक्शनों को रद्द करने की सलाह दी गई थी। हालाँकि, इसने हैक को नहीं रोका।

अधिकांश ड्रेन वॉलेट ने पहले किसी भी लेन-देन पर हस्ताक्षर नहीं किए थे, इसलिए एक दुर्भावनापूर्ण लेनदेन से इंकार किया जाता है। प्रारंभिक जांच से पता चलता है कि वॉलेट खुद से फंड भेज रहे थे।

अगली बात पर विचार करना निजी चाबियों का रिसाव है। यह लगभग असंभव लगता है कि उन सभी बटुए की चाबी लीक हो गई थी और एक साथ एक हमला शुरू किया गया था। यह समझ में आता है कि यह एक ऐसा संगठन था जिसे एक केंद्रीकृत डेटाबेस का उपयोग करने के बाद से उल्लंघन का सामना करना पड़ा था, लेकिन ये यादृच्छिक उपयोगकर्ता थे जिनके बीच कोई लिंक नहीं था।

ब्लॉकचैन की प्रकृति और गैर-कस्टोडियल वॉलेट कैसे बनाए जाते हैं, इसके कारण किसी भी इकाई को आपकी चाबियों तक पहुंच नहीं होनी चाहिए जब तक कि आप उनके साथ लापरवाह न हों।

आपके डिवाइस पर एक गैर-कस्टोडियल वॉलेट बनाया जाता है, और जानकारी सर्वर पर नहीं भेजी जाती है। जब गैर-कस्टोडियल वॉलेट बनाए जाते हैं, तो चाबियों और संबंधित पतों के बीच गणितीय संबंध के बिना चाबियां बेतरतीब ढंग से उत्पन्न होती हैं। मैं तकनीकी विवरण में नहीं जाना चाहता, लेकिन एक पते से एक कुंजी उत्पन्न नहीं की जा सकती है।

चूंकि हैक किसी दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने के कारण नहीं था, इसलिए यह स्पष्ट है कि यह चाबियों का रिसाव था। अब सवाल यह है कि चाबी कैसे लीक हुई। निजी कुंजी को असंख्य तरीकों से लीक किया जा सकता है, जैसे:

• आप अपनी चाबियों को लापरवाही से जमा कर रहे थे, जैसे कि आपकी डायरी में, जहां वे आसानी से उजागर हो सकती हैं।
• आपका उपकरण किसी निगरानी कार्यक्रम से संक्रमित है, जैसे कि कीलॉगर।
• आप इंटरनेट पर चाबियां भेज रहे थे, जिससे आप बीच-बीच में होने वाले हमलों के प्रति संवेदनशील हो जाते हैं।

लेकिन एक अप्रत्याशित मोड़ में, यह पता चला कि उल्लंघन स्लोप वॉलेट नामक वॉलेट प्रदाता के कारण हुआ था। सुरक्षा लेखा परीक्षकों और डेवलपर्स की एक जांच से पता चला है कि निजी कुंजी को एक एप्लिकेशन मॉनिटरिंग डिवाइस में प्रेषित किया गया था, और प्रभावित वॉलेट या तो स्लोप वॉलेट में बनाया या आयात किया गया था।

स्लोप वॉलेट ने अपने सर्वर में वॉलेट सीड वाक्यांशों को लॉग किया, जो गैर-कस्टोडियल वॉलेट के लिए संभव नहीं होना चाहिए क्योंकि वॉलेट आपके डिवाइस पर बनाया गया है। शायद यह एक लापरवाह कोड था, जो उन्हें जानकारी पढ़ने और इसे लॉग करने में सक्षम बनाता था, या यह डिज़ाइन द्वारा था। चाबियों के इस लॉगिंग के कारण हैकर स्लोप के डेटाबेस को भंग करके उन पर अपना हाथ रखने में सक्षम हो गया। स्लोप वॉलेट माना जाता है कि यह एक गैर-कस्टोडियल वॉलेट सेवा प्रदाता है, और इस तरह का एक रिसाव सामान्य रूप से सुरक्षा और गोपनीयता के बारे में सवाल उठाना शुरू कर देता है।