Après plus de 24 heures de crise, la poussière commence enfin à retomber sur le réseau Solana. Si l’heure n’est pas encore tout à fait au bilan et aux règlements de comptes, la responsabilité particulière d’un wallet non custodial en particulier semble de plus en plus avérée.
SOL contre tous
L’heure est aux comptes après une poignée d’heures angoissantes pour l’ensemble de la communauté Solana, et plus particulièrement les utilisateurs de hot wallets (stockage à chaud). Des wallets massivement attaqués dans la nuit de mardi à mercredi pour la France, laissant des milliers de victimes dans le sillage d’un hack aussi massif qu’initialement incompréhensible.
Selon des informations disponibles sur Solscan, c’est ainsi plus de 10 400 wallets qui ont été attaqués et siphonnés. Le tout pour un préjudice évalué à près de 5 millions de dollars, principalement en tokens SOL et stablecoins USDC (détails ci dessous).
Dans la journée d’hier, des pistes permettant de peut-être remonter au responsable de ce piratage d’envergure se sont fait jour (certaines particulièrement créatives). C’est cependant désormais la vulnérabilité exploitée qui semble avoir été identifiée.
L’inconséquence du wallet Slope pointée du doigt
Si le conditionnel reste de mise en pareil cas, c’est l’incrédulité qui domine cependant à la révélation des dernières informations.
Ces premiers éléments ont été communiqués par la team Solana elle-même. Ils indiquent que la faille exploitée par les hackers aurait concerné le wallet Slope.
Voir un portefeuille de stockage de cryptoactif attaqué avec succès n’est jamais une bonne nouvelle. Mais plus encore, ce sont les détails de cette attaque qui laissent songeur : il apparait que les clefs privées de milliers d’utilisateurs auraient été compromises parce que stockées sur des serveurs centralisés d’une part, mais surtout transmises de manière qu’on qualifiera de “légères” à des tierces parties par Slope.
Facteur évidemment aggravant, l’exploitation massive de ces données stratégiques démontrent sans l’ombre d’un doute que celles-ci étaient disponibles “en clair”. Autrement dit non chiffrées. Gênant dans une industrie où la cryptographie représente l’alpha et l’oméga des bons usages.
« Cet exploit a été isolé à un portefeuille sur Solana, et les portefeuilles matériels utilisés par Slope restent sécurisés. Les détails de la manière exacte dont cela s’est produit sont encore en cours d’investigation. Mais des informations sur les clés privées ont été transmises par inadvertance à un service de surveillance des applications »
Encore une fois, on restera cependant prudent, alors que les investigations post mortem sont en cours, et que la situation évolue d’heure en heure.
Ce qui est revanche certain, c’est que c’est bien l’utilisation des services de Slope qui sert de dénominateur commun à ce piratage de grande envergure. En effet, si des utilisateurs du wallet Phantom ont également été impactés, il apparaît que les victimes avaient systématiquement créés initialement leur portefeuille sur Slope, avant de migrer éventuellement vers son concurrent (tout en conservant la même clef privée). L’utilisation de la version mobile de Slope semble avoir été également un des critères de vulnérabilité.
Slope a publié un point de situation il y a quelques heures, indiquant être pleinement conscient de la situation (certains des wallets des fondateurs et de la team seraient concernés par le piratage) et œuvrer à une résolution rapide.
L’équipe de Solana a pour sa part insisté (plutôt légitimement) sur le fait que le réseau en lui-même n’avait été compromis à aucun moment, rappelant que cet incident était la conséquence directe d’un défaut de sécurité de la part d’un acteur tiers. En attendant, il est conseillé aux utilisateurs des solutions Slope de prendre le temps de récréer un portefeuille de stockage, afin d’y migrer leurs actifs. Retrouvez si besoin le tutoriel d’installation de Phantom par ici.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !
