2022 年 8 月 3 日,Solana 公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。
Slope 钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solana foundation 提供的数据显示近 60% 被盗用户使用 Phantom 钱包,30% 左右地址使用 Slope 钱包,其余用户使用 Trust Wallet 等,并且 iOS 和 Android 版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。
分析过程
在分析 Slope Wallet(Android, Version: 2.2.2)的时候,发现 Slope Wallet(Android, Version: 2.2.2)使用了 Sentry 的服务,Sentry 是一个被广泛应用的服务,Sentry 运行在 o7e.slope.finance 域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到 https://o7e.slope.finance/api/4/envelope/。
慢雾:6月24日至28日Web3生态因安全问题损失近1.5亿美元:7月3日消息,慢雾发推称,自6月24日至6月28日,Web3生态因安全问题遭遇攻击损失149,658,500美元,包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]
继续分析 Slope Wallet,我们发现 Version: >=2.2.0 的包中 Sentry 服务会将助记词发送到 "o7e.slope.finance",而 Version: 2.1.3 并没有发现采集助记词的行为。
慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官/img/202281321608/1.jpg" />
那么按照 Solana foundation 统计的数据看,30% 左右受害者地址的助记词可能被 Slope Wallet(Version: >=2.2.0)Sentry 的服务采集发送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服务器上。
但是另外 60% 被盗用户使用的是 Phantom 钱包,这些受害者是怎样被盗呢?
在对 Phantom(Version:22.07.11_65)钱包进行分析,发现 Phantom(Android, Version:22.07.11_65)也有使用 Sentry 服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。(Phantom Wallet 历史版本的安全风险慢雾安全团队还在分析中)
一些疑问点
慢雾安全团队还在不断收集更多信息来分析另外 60% 被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为 Solana 生态略尽绵薄之力。如下是分析过程中的一些疑问点:
1. Sentry 的服务收集用户钱包助记词的行为是否属于普遍的安全问题?
2. Phantom 使用了 Sentry,那么 Phantom 钱包会受到影响吗?
3. 另外 60% 被盗用户被黑的原因是什么呢?
4. Sentry 作为一个使用非常广泛的服务,会不会是 Sentry 官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?
参考信息
已知攻击者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
受害者地址:
https://dune.com/awesome/solana-hack
Solana foundation 统计的数据:
https://www.odaily.news/newsflash/294440
https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co
https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637(需要申请访问权限)
在越来越多对数据隐私的担忧声中,政府开始行动制定数据使用合规法案。而另一方面,对数据的保护,却产生了一个矛盾:大量的数据因为需要依法保护而无法被联合在一起计算.
1900/1/1 0:00:00Hi,伙伴们,密恐的宝宝们还好吗? 被吓到的宝宝 来! 接受团子热情的拥抱 这一期内容更加精彩!一起来看看吧~ 美国潮玩巨头Funko Pop Digital推出DC漫画旗下《少年泰坦》NFT:金色财经报道.
1900/1/1 0:00:00不久前履新的数字货币研究所所长穆长春在得到开设的《Libra与数字货币展望》这门课,成为了最近的行业热点,一方面让我们可以窥得监管层对于影响力巨大的Libra的态度.
1900/1/1 0:00:00撰文:ThePrimedia研究员Spike??当我们在Google检索DID一词时,首先会跳出的是其医学解释——「多重人格障碍」,而非我们熟知的去中心化身份概念.
1900/1/1 0:00:00原文作者:Jeremy Allaire原文编译:0x9F、0×214,BlockBeats本文梳理自 Circle CEO Jeremy Allaire 在个人社交媒体平台上的观点,BlockBeats 对其整理翻译如下:昨天.
1900/1/1 0:00:00在加密货币衍生品市场,期货合约是重要的交易方式,利用最小的资金博取更高的收益,巧妙地使用杠杆功带来意想不到地收益。在加密货币市场,有正向合约和反向合约。正向合约,即稳定币合约。比如用USDT或者法币对比特币做合约交易.
1900/1/1 0:00:00
宇宙链