Solana生态钱包Slope更新攻击调查进展称,在调查和多方审查期间未发现其他漏洞,独立审计发现包括:
一、从7月28日到8月3日,Slope钱包在移动设备上的Sentry服务器实施存在一个漏洞,在应用程序生成错误事件的情况下,该漏洞会无意中记录敏感数据;
Slope:发现漏洞后已删除服务器端日志记录,1444个被盗钱包或可追溯到该漏洞:8月4日消息,Solana生态钱包Slope表示,在发现中心化Sentry服务器引发的漏洞后已删除服务器端日志记录。目前,受影响的9223个钱包中有1444个(15%)可能被追溯到此漏洞。Slope正在与审计合作伙伴和Solana基金会合作,以发现任何潜在的额外攻击媒介,并且已通知相关执法机构,以便对攻击者进行刑事调查。
区块链安全机构OtterSec此前在社交媒体上发文表示,在过去两天内,超过400万美元资产从Solana钱包中被盗,已经确认Slope移动应用通过TLS将助记符发送到其中心化Sentry服务器,然后这些助记符以明文形式存储,这意味着任何有权访问Sentry的人都可以访问用户私钥。在本次攻击中这些地址中的约1400个地址存在于Sentry中,不过这并非所有被盗地址。我们仍在调查可能的其他媒介。另外,在Sentry实例中发现了超5300个未包含在此次漏洞攻击的私钥,其中2358个地址中有Token,建议Slope用户尽快转移资金。[2022/8/4 12:01:44]
二、没有证据表明所有安全层都受到损害。所有到Sentry服务器的传输都通过HTTPS端到端加密进行保护,并且通过三因素身份验证控制对Sentry服务器的访问。
NFT平台Ethernity Chain与艺术家BossLogic合作推出NFT拍卖:金色财经报道,NFT平台Ethernity Chain正在与平面设计师BossLogic合作,为社区推出专属的代币化艺术品系列。 根据新协议,BossLogic将为Ethernity Chain网络创建2500个NFT,每个NFT的价格为0.299 ETH。[2021/3/3 18:09:18]
三、Ottersec之前所证实,调查团队已经交叉比较了所有被黑地址与Sentry数据库中漏洞的所有暴露地址,发现所有被黑地址的数量大于从Sentry服务器公开的地址总数,Sentry服务器的总暴露地址中的一小部分已被确认耗尽。
声音 | PeckShield: EOS竞猜游戏EOSlots遭随机数破解:今天晚上21:16~21:21之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏EOSlots发起连续攻击,并获利数千EOS,目前游戏已经暂停运营。PeckShield安全人员初步研究发现,此次是因游戏合约随机数问题被攻破。在此提醒,开发者应在合约上线前做好安全测试,特别注意随机数生成算法的安全问题,必要时可寻求第三方安全公司协助,帮助其完成合约上线前黑盒测试及基础安全防御部署。[2019/4/4]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。