2022年8月3日,Solana公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。
Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。
分析过程
在分析SlopeWallet的时候,发现SlopeWallet使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.finance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。
Ripple诉讼案法官裁定:SEC不能封存与Hinman的以太坊演讲有关的文件:金色财经报道,一名联邦法官裁定,美国证券交易委员会不能封存与前官员William Hinman 2018年向Ripple发表的关于加密货币和证券的演讲相关的文件,该监管机构正在对与XRP加密货币密切相关的公司提起诉讼。
美国纽约南区地方法院的地区法官Analisa Torres裁定,与该演讲相关的文件不能被法院命令封存,在该演讲中,前SEC公司财务总监表示,在他看来,以太坊不是一种证券。该法院的一名地方法官Sarah Netburn在2022年1月首次裁定,作为正在进行的取证过程的一部分,这些文件需要移交给Ripple公司。[2023/5/17 15:07:27]
MoonPay以未公开的金额收购web3创意机构Nightshift:金色财经报道,加密基础设施公司MoonPay以未公开的金额收购了web3创意机构 Nightshift。收购后,Nightshift将更名为Otherlife by MoonPay。[2023/1/20 11:21:52]
继续分析SlopeWallet,我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance",而Version:2.1.3并没有发现采集助记词的行为。
SlopeWallet历史版本下载:
https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions
web3游戏公司Limit Break完成融资2亿美元融资:金色财经报道,构建web3大型多人在线 (MMO) 游戏的初创公司Limit Break通过两轮风险投资筹集了2亿美元。?移动游戏公司Mino Games的主席Josh Buckley以及投资公司Paradigm和Standard Crypto领导了这轮融资。其他参与者包括FTX、Coinbase和Positive Sum。?[2022/8/30 12:56:16]
SlopeWallet是在2022.06.24及之后发布的,所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户,但是根据部分受害者的反馈并不知道SlopeWallet,也没有使用SlopeWallet。
Bitcoin.com试图将比特币持有者引入DeFi世界:金色财经报道,加密货币平台Bitcoin.com希望通过将比特币(BTC)持有者引入DeFi领域,并在其平台上实施去中心化交易所(DEX)等新服务来扩大其生态系统。
Bitcoin.com的金融服务主管Corbin Fraser在2022年韩国区块链周(KBW)上表示,该公司正在从仅与比特币现金(BCH)相关联,转变为一个面向跨多链加密用户的DeFi平台。Fraser解释称,我们有很多BTC用户,这些人很多都想用他们的加密货币做更多事情,而不仅仅是持有它。而且他们知道在DeFi有机会,但它有点复杂。
正因为如此,Fraser补充说,他们的团队专注于努力使用户体验更容易,并提供一个更“友好”的加密货币钱包。除了DEX,这位高管还强调了他们发布预付借记卡和进行代币销售的计划。(Cointelegraph)[2022/8/9 12:12:27]
那么按照Solanafoundation统计的数据看,30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。
但是另外60%被盗用户使用的是Phantom钱包,这些受害者是怎样被盗呢?
在对Phantom钱包进行分析,发现Phantom也有使用Sentry服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。
一些疑问点
慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点:
1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?
2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?
3.另外60%被盗用户被黑的原因是什么呢?
4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?
参考信息
已知攻击者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
受害者地址:
https://dune.com/awesome/solana-hack
Solanafoundation统计的数据:
https://www.odaily.news/newsflash/294440
https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co
https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。