Le 2 août 2022, 9 231 portefeuilles Solana ont été vidés de 4,1 millions de dollars en moins de quatre heures, provoquant une panique inédite dans l’écosystème (Solana Status, 2022). L’enquête a rapidement établi que la cause n’était pas une faille du protocole Solana, mais une erreur de sécurité élémentaire de Slope Wallet : l’application transmettait les phrases mnémotechniques (seed phrases) en clair à ses propres serveurs de logging via l’outil Sentry. Quatre ans plus tard, cet incident reste l’une des illustrations les plus frappantes des risques liés aux wallets mobiles non-custodials mal sécurisés.
En bref
- 2 août 2022 : 9 231 wallets vidés, 4,1 M$ dérobés en moins de 4 heures.
- Cause confirmée : Slope Wallet envoyait les clés privées en clair à Sentry (outil de monitoring).
- 5 367 clés privées trouvées dans la base Sentry selon Ackee Blockchain.
- Phantom n’était affecté que via les wallets dont la seed avait été importée depuis Slope.
- Le protocole Solana n’était pas en cause, aucune faille de la blockchain.
Comment s’est déroulé le hack Solana du 2 août 2022 ?
Dans la nuit du 1er au 2 août 2022, des transactions non autorisées ont commencé à vider des portefeuilles Solana de manière systématique. Le rythme atteignait environ 20 comptes vidés par minute au pic de l’attaque (CoinDesk, 2022). Les victimes constataient des transferts sortants qu’elles n’avaient pas initiés, depuis des wallets pourtant jamais connectés à des protocoles DeFi suspects.
En quelques heures, les équipes de Solana, Phantom, Slope et plusieurs firmes d’audit ont tenté de comprendre le vecteur d’attaque. La première hypothèse d’une faille de la blockchain Solana elle-même a été rapidement écartée : les transactions étaient signées avec les vraies clés privées des victimes, pas exploitées via une vulnérabilité du protocole.
Le bilan final a été établi à 9 231 wallets compromis pour une perte de 4,1 millions de dollars en SOL et tokens SPL, selon les chiffres officiels communiqués par l’équipe Solana (Solana Status, 2022). Ces montants, bien inférieurs aux premières estimations de 5 à 10 millions, reflètent la rapidité avec laquelle certains utilisateurs ont pu mettre leurs fonds à l’abri.
Pourquoi Slope Wallet est-il responsable de ce hack ?
L’enquête technique conduite par Ackee Blockchain a identifié la cause avec précision : Slope Wallet utilisait l’outil de monitoring Sentry pour logger les événements de l’application, mais sans scrubbing (nettoyage) des données sensibles (Sentry Blog, 2022). Concrètement, les phrases mnémotechniques et les clés privées des utilisateurs étaient transmises en texte clair aux serveurs Sentry à chaque action dans l’application.
Ackee Blockchain a retrouvé 5 367 clés privées dans la base de données Sentry de Slope, correspondant à 1 444 wallets effectivement vidés lors de l’attaque (Ackee Blockchain, 2022). L’écart entre les 5 367 clés exposées et les 1 444 wallets vidés s’explique par le fait que certains portefeuilles étaient vides ou que l’attaquant n’a pas eu le temps de tous les traiter avant d’être détecté.
C’est une erreur de développement élémentaire, pas une attaque sophistiquée. Sentry est un outil légitime de surveillance d’erreurs utilisé par des milliers d’applications. Son problème n’est pas intrinsèque : c’est l’absence de configuration de scrubbing côté Slope qui a permis que les données les plus sensibles arrivent dans les logs.
Cet incident illustre un angle mort fréquent dans le développement d’applications crypto mobiles : les outils tiers de monitoring (Sentry, Datadog, Amplitude) capturent par défaut toutes les données qu’on leur transmet. Sans liste explicite de champs à exclure, les développeurs exposent involontairement les données les plus critiques de leurs utilisateurs.
Phantom était-il vraiment en cause ?
Non. Les wallets Phantom figurant parmi les victimes n’ont pas subi de faille propre à Phantom. La compromission n’est survenue que dans un cas précis : les wallets Phantom dont la seed phrase avait été importée depuis Slope à un moment quelconque (CoinDesk, 2022). La seed avait transité par l’application Slope, y avait été loggue dans Sentry, et c’est par ce canal qu’elle a été compromise.
Les wallets Phantom créés directement dans Phantom, sans jamais avoir été associés à Slope, n’ont pas été affectés. Cette distinction est importante : elle signifie que le protocole Solana et le wallet Phantom ont tous deux fonctionné correctement. La responsabilité est entièrement du côté de Slope et de sa gestion défaillante des données sensibles.
L’équipe Solana a été explicite dans son communiqué post-incident : “Les portefeuilles matériels utilisés par Slope restent securises. Il semble que les adresses concernées aient été a un moment crees, importees ou utilisees dans les applications mobiles Slope” (Solana Status, 2022).
Quelles corrections ont été apportées après l’incident ?
Slope a rapidement reconnu le problème dans un communiqué officiel et annoncé plusieurs mesures correctives (Slope Finance, 2022). La transmission des seeds à Sentry a été coupée immédiatement. Les développeurs ont mis en place une liste exhaustive de champs sensibles à ne jamais loguer. Un audit de sécurité complet du code a été commandé à une firme externe.
Sentry a de son côté publié un post-mortem documentant les meilleures pratiques de scrubbing pour les applications manipulant des données financières ou d’authentification. L’incident Slope est désormais cité dans la documentation officielle de Sentry comme cas d’usage typique des risques de données sensibles non filtrées.
En 2026, Slope n’est plus une application largement utilisée. L’incident a irréversiblement endommagé sa réputation. Les utilisateurs de wallets mobiles ont majoritairement migré vers Phantom, Backpack ou des solutions hardware comme Ledger pour les montants significatifs.
Comment se protéger après ce type d’incident ?
La leçon principale est simple : ne jamais importer une seed phrase d’un wallet compromis dans un autre wallet sans en créer une nouvelle au préalable. Si vous avez utilisé Slope en 2022, la procédure correcte était de créer un nouveau wallet entierement, noter la nouvelle seed, et transférer les fonds depuis le wallet potentiellement compromis.
En 2026, les bonnes pratiques pour les wallets Solana reposent sur trois principes. Premièrement, utiliser un wallet hardware (Ledger avec l’application Solana, Trezor) pour les montants significatifs. Deuxièmement, ne jamais utiliser la même seed phrase sur plusieurs wallets ou applications différentes. Troisièmement, traiter toute application mobile de wallet comme potentiellement vulnérable jusqu’à preuve contraire.
Questions fréquentes
Le hack Solana de 2022 était-il une faille de la blockchain Solana ?
Non. Le protocole Solana n’avait aucune vulnérabilité dans cet incident. Les transactions frauduleuses étaient signées avec les vraies clés privées des victimes, obtenues via les serveurs de logging de Slope Wallet. La blockchain a fonctionné exactement comme prévu (Solana Status, 2022). La responsabilité incombe entièrement à Slope et à sa gestion défaillante des données sensibles.
Mes fonds étaient-ils en danger sur Phantom en août 2022 ?
Uniquement si vous aviez un jour importé votre seed Slope dans Phantom. Un wallet Phantom créé directement dans Phantom, sans jamais passer par Slope, n’a pas été affecté. Si vous étiez dans ce cas, la procédure recommandée était de créer un nouveau wallet avec une seed entierement nouvelle et de transférer les fonds immédiatement.
Pourquoi les wallets hardware n’etaient-ils pas affectes ?
Les wallets hardware (Ledger, Trezor) stockent les clés privées dans un composant isolé (secure element) qui ne les transmet jamais à l’application hôte. Slope confirmait lui-même que “les portefeuilles matériels utilisés par Slope restent sécurisés” (Slope Finance, 2022). La clé privée ne quitte jamais le hardware : seule la transaction signée est renvoyée à l’application, rendant le logging Sentry inoffensif pour ces utilisateurs.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash