區塊鏈安全平台 CertiK 昨晚發佈警告稱,公鏈 Solana 旗下區塊鏈手機 Saga 存在重大安全漏洞,可以將手機內所有資產「洗劫一空」。對此說法,Solana 官方怎麼回應?
(前情提要:Solana手機Saga六折出清!原價1,000美元沒買氣:599拿走)
(背景補充:Solana Saga手機開箱:1,000美元的Web3智慧手機,能打破市場?)
公鏈 Solana 今(16)晨隨著比特幣強勢反彈的勢頭,四點左右正式突破 67 美元再創年內新高,撰搞當下報 64.98 美元,近 24 小時上漲超 12%。
旗下區塊鏈手機 Saga 遭 CertiK 爆重大安全漏洞
但與此同時,Web3 安全審計公司 CertiK 昨(15)日晚間在一篇推文中警告稱,Solana 旗下於今年 5 月公開發售的首款區塊鏈手機 Saga 存在一個重大安全漏洞!
在推文附上的解析影片中,CertiK 測試專家示範該如何破解該手機,並在簡單幾步操作後就將其中的所有加密資產「洗劫一空」。
Ever wondered about the security of your Web3 devices?
Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) November 15, 2023
Solana 官方回應:安全無虞
CertiK 披露該 Bug 源於一種不安全的「解鎖引導程式」功能,除了竊取用戶資產外,它還會盜取 Saga 上存儲的所有個人數據;同時 CertiK 還強調,該 Bug 並不僅限於 Saga,其他移動應用設備同樣有可能遭到入侵。
不過對於 CertiK 的說法,據 Blockworks 詢問 Solana Labs 首席軟體工程師 Steven Laver 後,他回應表示:
CertiK 影片並未向 Saga 持有者揭示任何已知的漏洞或安全威脅。該影片顯示用戶解鎖引導程序,這可以在許多 Android 設備上完成。
Laver 進一步解釋,解鎖引導程式是 Saga 的一項高級功能但不是一個安全漏洞,預設為停用。
我們相信應該允許用戶選擇如何使用手機,用戶必須明確允許對其設備進行此類更改並授權才能操作,同時他們會收到多次警告,而且他們的設備及其私鑰都會被消除。
因此,如果沒有用戶的積極參與或意識,這不是一個可以發生的過程…
另外 Solana 在官方 Discord 討論群也指出,該手機有項安全技術為 Seed Vault,可在手機的安全環境中保護用戶加密錢包的助記詞,而 CertiK 影片中顯示的錢包則中並未使用 Seed Vault。
而社群上目前對於該漏洞是否真的危險有兩方不同的說法,但如果您也持有該手機,那建議您務必提高警覺性。
什麼是 Solana Saga?
根據官方資料顯示,Saga 5G 手機最初售價為 1,000 美元,基於灣區智慧型手機公司 OSOM 的硬體構建,其獨特之處在於「Solana Mobile Stack(SMS)」,這是一系列自定義附加組件,可將加密貨幣實用性整合到手機的硬體和軟體中。同時,SMS 具有堅實的安全功能,允許在手機上發送、接收、交易和儲存加密貨幣。
延伸閱讀:Solana Saga手機開箱:1,000美元的Web3智慧手機,能打破市場?
Saga 安全元件還構建了「Seed Vault」,可在手機的安全環境中保護用戶加密錢包的助記詞。 Solana 表示,將私鑰與手機的其餘數據分開可以使它們更加安全,讓 Android 操作系統無法訪問私鑰,並可使用用戶指紋簽署交易。
Saga 的另一個核心部分是獨立於 Google Play 商店的「 Solana 自定義去中心化應用程式(dApps)商店」,涵蓋加密貨幣交易、錢包間通信、音樂和 NFT 面向,且 Solana 表示不會像蘋果和 Google 對 dapps 商店應用程式徵稅。
📍相關報導📍
Solana Saga手機鏡頭實拍、實測連結錢包:1000美元值得嗎?