慢雾:Solana 公链大规模盗币事件后续分析_SLOPE:SOL

背景概述

2022年8月3日,Solana公链上发生大规模盗币事件,大量用户在不知情的情况下被转移SOL和SPL代币。慢雾安全团队第一时间介入分析,并在Slope团队的邀请下对Slope钱包应用进行分析,分析表明:Slope钱包在2022年6月24日及之后发布的版本存在向第三方应用监控服务发送私钥或助记词信息的现象。

但从对Slope钱包应用进行调查到现在,无法明确证明此次事件的根源就是Slope钱包的问题,于是慢雾安全团队开始对Slope的服务器进行分析取证。

分析过程

事件发生之后各方的关注点主要聚焦在调查本次事件的根源以及资金的追踪和挽救的可能性。于是慢雾安全团队制定相关的计划,开始从链下和链上两个部分着手调查和分析。

在事件根源调查这个方向上,慢雾安全团队重点专注在对Slope服务器的分析取证。这里面有大量且复杂的工作需要推进,也需要有更多明确的证据来解释这次的大规模盗币事件的根源。

资金追踪和挽救的可能性这部分工作,慢雾安全团队主要依靠MistTrack的追踪分析能力、标签数据能力并结合情报能力,尽最大的努力识别和追踪黑客的链上行为。并且也和Slope团队沟通交流挽救的可能性,Slope团队也在尝试与黑客沟通希望通过发布漏洞赏金的方式,鼓励黑客归还资产,共同维护Solana这个生态的健康发展。

本篇仅向社区用户同步阶段性的调查情况,还有很多的分析工作正在进行,并且不断推进。各方人员不仅是慢雾,还有其他第三方安全团队,以及一些特殊力量也在努力帮忙调查中,希望这次事件最终能够有相对明确的结论。

注:本文所提到的Sentry服务指的是Slope团队私有化部署的Sentry服务,并非使用Sentry官方提供的接口和服务。

德国及美国相关机构关停混币器ChipMixer服务器,并没收1909枚BTC和7TB数据:金色财经报道,据欧盟执法合作署 (Europol) 称,德国和美国相关机构已从加密货币混合器 ChipMixer 处没收 4400 万欧元资金。欧洲刑警组织周三表示,有关当局关闭了该平台的基础设施,没收了四台服务器、7TB 数据和 1909.4 比特币 (BTC)(4770 万美元)。据悉,本次调查行动的理由系 ChipMixer 允许其客户隐藏犯罪行为踪迹,例如勒索软件攻击和支付欺诈以及一些更严重的违法犯罪行为。[2023/3/15 13:06:11]

一些疑问点

在同步分析的情况之前,我们先来回答上篇文章的分析过程中的一些疑问点:

1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?

答:Sentry主要用于收集相关应用服务在运行状态时出现的异常或者错误日志信息,在配置错误的情况下,可能会收集到预期之外的数据,如:私钥或助记词等信息,因此并非普遍存在的安全问题。开发人员在使用第三方应用监控服务切记不能在生成环境中开启Debug模式。

2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?

答:虽然Phantom使用了第三方应用监控服务但是慢雾安全团队通过对Phantom钱包历史各版本的监测,并未明显发现Sentry上传私钥/助记词的行为。

3.?SolanaFoundation提供的调研数据显示本次事件近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,那这60%被盗用户被黑的原因是什么呢?

答:经过比对发现服务器上的私钥和助记词派生出来的地址与受害者地址有交集的有5个ETH地址和1388个Solana地址。目前的调查情况看,还没有明确的证据能够解释另外部分用户钱包被黑的原因。

OpenAI CEO旗下加密项目Worldcoin推出身份协议World ID及SDK:3月14日消息,OpenAI 首席执行官 Sam Altman 创立的加密货币公司 Worldcoin 推出身份协议 World ID 及相应 SDK(软件开发工具包)。World ID 定位为 Worldcoin 的底层身份协议,由零知识密码学提供支持,人们可以通过 World ID 来证明自己身份,同时保持匿名。

此前报道,2 月 10 日,知情人士称 Worldcoin 希望以 30 亿美元的估值融资至多 1.2 亿美元,且本轮融资包括股权和 Token 融资。[2023/3/14 13:03:16]

4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵加密货币生态的攻击?

答:目前暂无证据表明Sentry官方遭到了入侵和攻击,Slope钱包使用的Sentry是内部搭建的服务,因此和官方服务被入侵无直接关系。

链下分析部分

链下部分慢雾安全团队主要聚焦排查链下服务器、相关后台等被入侵的可能性,工作的重点是对Slope服务器进行外围服务器资产风险排查,服务器的入侵痕迹排查,Sentry数据库分析,服务器镜像分析,DNS劫持的可能性分析。如下是排查和分析的情况:

1.外围服务器资产风险排查

Slope团队知道Slope钱包回传助记词和私钥信息之后,第一时间就关停了Slope钱包相关的服务。因此Slope钱包相关的服务已经不能通过直接访问,慢雾安全团队依靠互联网搜索引擎等工具对Slope外围服务器资产进行信息收集,包括slope.finance域名下的子域名和IP等进行模拟渗透测试分析,排查从外围可能存在的入侵风险点,通过分析和渗透测试并未发现存在可被直接入侵的风险点。

Block Earner CEO:澳大利亚金融许可制度“缺乏透明度”:金色财经报道,在澳大利亚证券和投资委员会(ASIC)起诉Block Earner非法提供加密服务之后,Block Earner首席执行官兼联合创始人Charlie Karaboga抨击澳大利亚金融许可制度“缺乏透明度”。

Charlie Karaboga称,尽管该公司“了解其背景”,但这一结果“令人失望”。他表示欢迎监管,声称该公司“已花费大量资源建设监管基础设施”,以便能够“根据ASIC提供的现有指导方针”提供服务。

Charlie Karaboga指出澳大利亚加密货币监管环境不明朗的问题,并表示“缺乏明确性会在监管机构和创新者之间产生摩擦”。他还表示,“在理想的世界中,我们会在监管沙盒中构建这些产品,在许可制度方面更加清晰。未来,我们期待与ASIC和其他监管机构在这一领域合作。”

根据Karaboga的说法,Block maker已经申请信贷许可证,并将为其即将推出的产品申请AFS许可证,因为“许可证要求很明确”。(Cointelegraph)[2022/11/24 8:04:15]

2.服务器的入侵痕迹排查

主要对第三方应用监控服务器进行内部排查,包括服务器登录日志,系统历史操作命令,可疑进程,可疑网络连接,可疑系统计划任务,数据删除和获取操作等,服务器内部还有5个Docker服务也进行同样的入侵痕迹排查。排查发现几个可疑登录IP为:113.*.*.*,114.*.*.*,153.*.*.*,这些IP是在06.24之前访问过第三方应用监控服务的后台。虽然这发生在回传私钥和助记词的时间?之前,但是仍然存在可疑。

3.PostgreSQL数据库分析

由于助记词和私钥被Slope钱包的第三方应用监控服务回传到服务器上,所以慢雾安全团队也对服务器中可能存在私钥或助记词的位置进行了分析,分析发现私钥或助记词较大可能会留存在如下位置:

Parataxis Capital旗下数字基金的资产规模将在2023年达到5亿美元:金色财经报道,多策略加密投资公司Parataxis Capital联合创始人兼首席执行官Edward Chin表示,预计到今年年底,其3560万美元的数字收益基金的管理资产规模将增加三倍,并且将在2023年达到5亿美元。

据报道,Parataxis成立仅三年,目前管理着约1.16亿美元的资产,主要专注于银行、家族办公室和养老金捐赠基金等机构投资者。其数字收益基金今年早些时候从美弗吉尼亚州Fairfax的两家养老基金获得了资金支持。[2022/10/22 16:34:59]

Sentry的数据库表中

PostgreSQL的数据库日志中

镜像磁盘已删除的数据中

Docker运行时的数据文件中

在分析过程中发现第三方应用监控服务采用了PostgreSQL数据库,其中nodestore_node表的data字段里发现存在第三方应用监控服务采集的私钥和助记词数据。经过分析调查得到以下信息:

私钥和助记词数据内容在nodestore_node表的数据库记录时间为2022.7.28-2022.8.5。

慢雾安全团队通过对数据解密和分析,发现私钥或助记词数据内容中记录的最早是2022.6.29上传的数据,也就是说Sentry在6月29号采集的数据延迟了一个月的时间才在2022.7.28开始陆续被存储到了PostgreSQL数据库的nodestore_node表,但是这部分延时的数据占较少,大部分的私钥和助记词采集的时间是集中在2022.07.28-2022.08.05。

进一步排查数据库操作日志,发现在?7.28?之前?nodestore_node?表存在?SQL?语句执行失败的记录,原因是键值冲突,经过深入排查和沟通发现是由于?Kafka?服务出错导致没有进行数据写入。

分析师:目前NFT领域没有可靠的稳定投资,绝大多数投资者会面临亏损:8月29日消息,上周六,NFT分析师OKhotshot在其推特揭露了目前困扰NFT行业的许多问题,并表示大多数非金融交易投资者将会在NFT领域面临亏损。

NFT分析师OKhotshot表示,“在NFT领域没有可靠的稳定投资”,并警告投资者需要警惕所谓的“蓝筹NFT”,同时,并表示“钻石手”并不是最好的赚钱方法。

此外,他还建议,成交量和流动性往往是比地板价更重要的指标。(Cointelegraph)[2022/8/29 12:55:33]

由于部分数据在日志记录和数据恢复的时候暂时不能恢复出完整的数据,需要进一步对数据进行修复,因此优先解密可以被完整恢复的数据,解密出来的地址数量为?189?个?ETH地址和?4914?个?Solana?地址,有?5073?组助记词,而链上黑客事件的钱包地址有?42?个?ETH?地址和?9231?个?Solana?地址,经过比对发现服务器上的私钥和助记词派生出来的地址与受害者有交集的地址有?5?个?ETH?地址和?1388?个?Solana?地址。

在数据库操作日志中还发现另一个内部测试的应用?com.slope.game?在?3?月份也存在私钥和助记词的上报数据,该内部测试应用并未对外发布。

4.服务器镜像分析

慢雾安全团队对Sentry的云服务器的镜像进行分析,并对服务器磁盘已删除的数据进行恢复,并在恢复后的数据中发现了私钥和助记词信息。

5.DNS劫持的可能性分析

慢雾安全团队通过各方的能力以及全球情报资源,包括对DNS解析数据查询和分析,目前暂无明确证据能够证明域名o7e.slope.finance曾经发生过DNS劫持事件。

链下调查和分析的阶段性结论:

就现阶段的调查和分析的情况看,未发现外围服务器可以直接被入侵的风险点;未发现服务器被入侵的痕迹但是对可疑IP仍需要继续调查;DNS劫持的可能性较小;已在数据库表、数据库日志文件、磁盘已删除文件恢复后的数据中发现了私钥和助记词信息。

链上分析部分

链上部分主要聚焦于风险资金评估、被盗资金转移和黑客痕迹分析,重点梳理分析了以下几点内容:

1.风险资金评估

根据Solana链、ETH链、BSC链的被盗资金情况,慢雾安全团队将风险资金分为以下两类:

风险资金:黑客具有地址权限的资金。

疑似风险资金:黑客可能具有地址权限的资金。

根据以下地址列表进行风险资金评估:

被盗地址助记词映射到其他链的地址

被盗地址助记词通过派生路径推导出来的地址

排除风险资金地址列表,根据以下地址列表进行疑似风险资金评估:

Slope服务器上存在助记词/私钥记录的地址

Slope服务器上存在的助记词映射到其他链的地址

Slope服务器上存在的助记词通过派生路径推导出来的地址

未发现大额可转移风险的资金和可能存在风险的资金。

2.被盗资金统计

为了避免一些垃圾币对被盗资金的影响,我们在统计过程中只统计主流币种的被盗资金:

Solana链:SOL、USDC、USDT、BTC和ETH。

ETH链:ETH、USDT、USDC和PAXG。

被盗币种价值取被盗当日价格。

1SOL=$38.54

1BTC=$22,846.51

1ETH=$1,618.87

1PAXG=$1,759.64

1BNB=$298.36

对Slope服务器上的已解密的私钥和助记词对应派生出来的地址与链上统计的受害者地址进行分析,有交集的地址有5个ETH地址和1388个Solana地址,对这些存在交集的地址做被盗资金统计如下,此部分被盗资金占到总被盗资金的31.42%。

3.资金转移分析

Solana链:

资金截止发文时间未进一步转移。

ETH链:

21,801USDT转移到个人钱包地址。慢雾安全团队正在与各方沟通配合努力追查黑客的身份。

剩余大部分资金兑换为ETH后转移到Tornado.Cash。

BSC链:

资金截止发文时间未进一步转移。

4.黑客链上时间线分析

根据黑客链上行为梳理出时间线如下图:

5.黑客痕迹分析

黑客地址列表如下:

疑似黑客地址列表如下:

第一笔转入

Solana链黑客钱包1、2、3和4的链上第一笔转入交易都是来自Solana链疑似黑客钱包的0.1SOL的转账。根据对链上痕迹的分析,评估Solana链疑似黑客钱包可能是黑客地址,也存在更大可能是受害者地址。

黑客过程中使用工具

TransitSwap

Uniswap

MetaMaskSwap

黑客变现方式

转移到疑似OTC个人钱包地址。

转移到Tornado.Cash。

黑客地址与交易所/平台的关联

直接关联:

TRON链,黑客8月5日存款USDT到Binance

存款地址:TE4bkS2PYqWxijgh5eqEz9A5jLn7HcS6fn

存款交易:b6615bf10b2e619edc9315a08f89732664adc9d385c980f77caa6e82872fe376

TRON链,黑客8月5日从Binance提款TRX

提款交易:0e012643a7db1b8c5d1f27447b16e313d4b3f89efaa22b3661188fe399cd2d0e

ETH链,黑客8月5日从Binance提款ETH

提款交易:0xd035e009173e968d8f72de783f02655009d6f85ef906121e5b99b496a10283dd

ETH链,黑客8月8日从Binance提款USDC

提款交易:0xff60f24f8ebd874a1e5da8eae44583af554af9a109a9bd7420da048f12c83cdc

ETH链,黑客8月10日从Binance提款USDC

提款交易:0xc861c40c0e53f7e28a6f78ec9584bfb7722cec51843ddf714b9c10fc0f311806

TRON链,黑客8月10日从Binance提款USDT

提款交易:10c4186e4d95fb2e4a1a31a18f750a39c0f803d7f5768108d6f219d3c2a02d26

间接关联:

Solana链疑似黑客钱包1月8日从Binance提款SOL

提款交易:668jpJec7hiiuzGDzj4VQKSsMWpSnbzt7BLMGWQmrGvHVQQbNGc3i1g8dCj2F5EAxFT8oDG5xWPAeQUMEMBTjhZs

Solana链疑似黑客钱包存在与SolrazrIDOprogram交互的链上痕迹

交易:2LxLhL7oAiTyHGrAXCZEJyazQQLM7veaKvqUZL6iPkonL4wPLHcwV66MFX3ERyWvJtdd2wFdKfgKUuT1oAv2XepK

疑似OTC个人钱包地址与Binance、Kucoin和OKX多个交易所存在存款和提款关系

疑似OTC个人钱包地址的情报关联

根据慢雾获取到的相关情报,疑似OTC个人钱包地址与国内多个案件有关,其中包括电话案、USDT被盗案和TRC20被盗案等。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:314ms