SOL:波及上万用户,损失数百万美元,Solana钱包被盗分析

8月3日,成都链安鹰眼-区块链安全态势感知平台舆情监测显示,Solana发生大规模盗币事件,截止发稿前,有近1万多个Solana钱包地址遭受攻击,被盗取的SOL、SPL、USDC、USDT、BTC、ETH等,价值约600万美元。在昨天的预警里,我们第一时间建议Solana钱包用户尽快转移加密资产至CEX或者硬件钱包。

可以知道的是Solana正在经历一场大规模的安全事件,事件的来龙去脉究竟怎么回事,我们今天来一探究竟。

NFT市场MagicEden官方发推称,疑似存在一个SOL漏洞可以窃取Phantom钱包内资产。

接着,独立安全研究员CIAOfficer,黑客现在正在以一种未知的方式从普通用户的钱包中提取$SOL,目前被盗资金的数额超过500万美元。

NFTTrader项目Discord服务器已被入侵:金色财经报道,据CertiK监测,NFTTrader项目Discord服务器已被入侵,黑客发布了网络钓鱼链接。在团队确认他们已经恢复服务器的控制权之前,请勿点击任何链接。[2023/3/6 12:44:46]

知名开发者@0xfoobar则发推称,除Phantom外,Slope钱包用户也已报告了被盗情况。

紧接着,越来越多用户的钱包遭受入侵,大家才发现事态已经变得严重!

针对整起事件,Solana官方当前给出的回应是:“来自多个生态系统的工程师正在几家安全公司的帮助下调查本次大规模钱包被盗事件,目前没有证据表明硬件钱包会受到影响,调查获得进展将尽快公布后续信息。”

美国SEC在2022-2026财年战略计划中批露涉及加密资产的举措:11月30日消息,美国证券交易委员会(SEC)上周公布2022-2026财年的战略计划,其中批露一些涉及加密资产的举措。SEC表示,加密资产快速增长也代表着一种风险,监管机构要为此类风险做好准备,SEC必须在需要时寻求美国国会的新授权,继续与其他监管机构有效合作,并更积极地参与数字化计划。

美国SEC强调,必须继续加强其在股票以外的产品市场(包括加密资产、衍生品和固定收益)方面的专业知识,并投入更多资源,保持敏捷灵活的方法来迅速应对市场变化。(Bitcoin.com)[2022/11/30 21:12:07]

成都链安技术团队第一时间进行了跟踪分析,现将本次攻击的分析进展分享如下。

邮储银行山东省分行将首发5件限量数字藏品:金色财经报道,邮储银行山东省分行成为山东首家进军元宇宙数字藏品领域的银行,据悉该行将以独立母品牌IP化数字藏品的身份登陆“海豹数藏”平台,运用区块链和大数据等技术,陆续发行首批5件限量数字藏品,并且还将开设数字金融馆及专区,与多个品牌展开联名计划,实现数字藏品在线交易。(中华网山东频道)[2022/5/22 3:33:37]

黑客四个钱包地址金额

目前分析进展如下:

第一点:

根据用户反馈,目前受影响的钱包主要是Phantom钱包、Slope钱包。

成都链安安全团队分析发现Slope钱包使用的Sentry服务,通过抓包发现此服务会在用户创建钱包时,将助记词和私钥等敏感数据发送到Slope的服务器o7e.slope.finance上,造成助记词或私钥泄露。

目前slope官方已发文正在努力解决该问题。

而对Phantom钱包进行分析,逆向代码发现其中也包含sentry库,但是通过抓包分析,暂时未发现在用户创建钱包时,有发送助记词和私钥等敏感数据到服务器的行为。

此外,根据舆情显示,NEAR的钱包中也曾在6月被发现类似Slope钱包的问题。当Near钱包用户选择“电子邮件”作为助记词恢复方法时,助记词被泄露到第三方站点。

第二点:

根据舆情显示,此前AvaLabs的工程主管patrickogrady在推特上写道:“我想知道Solana项目正在使用的某些ed25519签名库中是否存在nonce重用漏洞。我认为这将允许任何查看Solana的攻击者获得私钥,而不管私钥是在哪里生成的。”针对这种猜测,目前成都链安安全团队正在继续跟踪研究。

目前,成都链安安全团队正与受害者和钱包团队积极合作,对事件持续进行跟踪和研究分析。

Web3.0的生态世界,钱包安全方面我们也有以下建议:

对于用户:

用户平时可以将钱包根据用途分为两类,第一类用于存储资产,包括一些大额资产等,该类资产可以使用冷钱包存储提高安全性;

第二类用于资产交易,可以使用一些临时钱包。临时性的钱包包括:使用MetaMask之类的钱包重新创建一个地址里面存储很少的钱;或一些网络钱包如:BurnerWallet等,该钱包可以通过在网页上简单地设置转账的参数,如:转账地址、金额等,就可以生成一个临时性的小额交易二维码。

同时,用户在交易时使用的PC、浏览器等,可以在进行一些可能存在的危险交易时使用不同的PC,或者使用不同的浏览器。

对于项目方:

钱包项目方也要注意不要上传用户的私钥和助记词到服务器,项目方在产品上线前最好找专业的第三方安全公司进行专业的安全审计。

货币案件智能研判平台对被盗资金地址进行监控和追踪分析。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

ADAMER:为什么以太坊合并的过渡不会影响Aave的系统?

正如整个以太坊社区众所周知的那样,很长一段时间以来,参与以太坊共识和执行层的团队一直在研究实际上被认为是以太坊网络的下一阶段:从证明过渡到基于计算能力的共识机制;权益证明机制.

[0:0ms0-0:691ms