【Coinlive 新闻概览】如果你还持有 Solana，请三思

区块链技术无疑在给我们带来创新和便利的同时，对黑客来说也是一台自动化的大提款机。我们经常听到有关这条链被黑客攻击、加密货币被利用的消息，如果有一天没有更多的黑客攻击，那将真正成为头条新闻。本周又发生了另一起加密货币黑客事件——一个基于 Solana 的加密钱包遭到入侵。与那些重大漏洞相比，被黑客入侵的美元总额并不算多，但足以让用户在再次使用基于 Solana 的应用程序之前三思而后行。

8 月 3 日，许多用户在推特上表示，他们在另一个基于 Solana 的加密钱包 Phantom 钱包中的加密资产在没有通知的情况下被转移了。起初非常令人困惑，因为他们中的许多人在黑客攻击之前从未批准过任何网站或签署过任何交易。人们开始思考 Solana 的区块链是否受到了损害。一天后，事实证明，罪魁祸首是 Slope Finance 的钱包。这既不是批准也不是交易的错，而是种子短语泄漏。该漏洞由 Solana 开发人员发现，当 Slope 用户在他们的手机（iOS 和 Android）上下载并安装该应用程序时，移动应用程序本身会触发事件日志并将其上传到事件日志记录平台“Sentry”。一切都是在没有审查的情况下上传的，种子短语也是如此。如果 Slope 用户使用的是与他/她的 Phantom 钱包相同的助记词，那么这两个钱包将同时遭到破坏。

包含钱包助记词的事件日志已上传到 Sentry。来源：@Zellic_io &@sniko_

根据区块链审计公司 Zellic 的调查结果，Slope 在攻击发生前仅使用了一周的 Sentry 服务。那些上传到 Sentry 的事件日志不会公开披露，因此任何有权访问 Sentry 的人都能够浏览所有这些日志并执行此操作。这意味着罪魁祸首很可能是 Slope 或 Sentry 的内部人员。用 Solana 基金会的话来说，“这似乎不是 Solana 核心代码的错误，而是在网络用户中流行的几个软件钱包使用的软件中。”好吧，这不是 Solana 的错，下一个。

Solana 开发者声明。来源：@SolanaStatus

这起案件发生在半年前，即 2022 年 2 月，虫洞网络被利用价值 3.12 亿美元的 120,000 枚 ETH 包裹。 Wormhole 是一个 DeFi 平台，充当绑定多个高价值链的代币桥梁。区块链桥是连接两个或多个不同区块链的协议，为我们所有的加密用户提供交换加密跨链的便利，但是，它也很容易被利用。开发人员需要为桥上可用的每个链编写多个智能合约。在这种情况下，Solana 上有一份智能合约，以太坊上有一份智能合约，而黑客攻击发生在 Solana 一方。简而言之，黑客利用了 Wormhole 的 Solana 智能合约，在 Solana 区块链上铸造了 12 万个包装的 ETH，然后将其中的 93,750 个赎回到以太坊网络上。同样，我们可以清楚地看到错误在开发人员身上。 Slope 的案例也是如此。

持有虫洞被黑客入侵的 wETH 的钱包地址，仍然坐在上面，可能正在等待最好的兑现机会。来源：

https://etherscan.io/address/0x629e7da20197a5429d30da36e77d06cdf796b71a

显然，就像 Solana 基金会所说的那样，Solana 核心代码运行良好，但开发人员却并非如此。与 7 岁的老牌以太坊相比，2020 年 3 月才推出的 Solana 对大多数开发人员来说仍然被认为是“新鲜的”。虽然我最多只能阅读以太坊智能合约，但我从区块链专家那里了解到，Solana 智能合约的行为与普通智能合约不同。因此，如果开发人员没有足够的 Solana 智能合约编码经验，最终产品可能会以某种方式在某个地方爆炸。支持区块链领域的新创新是可以理解的，但如果你只是像我这样的小投资者，除了那些不断给你带来不必要惊喜的项目之外，难道没有更好的项目可以支持吗？

作者：[Coinlive] 内尔