WAL:慢雾:Solana公链大规模盗币事件分析

Solana公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。

Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。

分析过程

慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官@IM_23pds在社交媒体上发文表示,近期已出现新的加密货币盗窃软件Mystic Stealer,该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包,是目前最流行的恶意软件,请用户注意风险。[2023/6/20 21:49:05]

在分析SlopeWallet的时候,发现SlopeWallet使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.finance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。

慢雾:Let's Encrypt软件Bug导致3月4日吊销 300 万个证书:Let's Encrypt由于在后端代码中出现了一个错误,Let's Encrypt项目将在撤销超过300万个TLS证书。详情是该错误影响了Boulder,Let's Encrypt项目使用该服务器软件在发行TLS证书之前验证用户及其域。慢雾安全团队提醒:数字货币行业有不少站点或内部系统为安全目的而使用 Let's Encrypt 自签证书,请及时确认是否受到影响。如有影响请及时更新证书,以免造成不可预知的风险。用户可查看原文链接在线验证证书是否受到影响。[2020/3/4]

继续分析SlopeWallet,我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance",而Version:2.1.3并没有发现采集助记词的行为。

分析 | 慢雾:韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盗 20,000,000 枚 XRP(价值 $6,000,000),通过慢雾安全团队的进一步分析,疑似攻击者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 时间 03/29/2019?13:46 新建并激活,此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包(g4ydomrxhege)疑似被黑,损失 3,132,672 枚 EOS,且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

SlopeWallet历史版本下载:

声音 | 慢雾:使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息,近日,注意到撞库攻击导致用户数字货币被盗的情况,具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测,同时用户在这些中心化服务里并未开启双因素认证。分析认为,被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全,但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系,且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致,这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

SlopeWallet是在2022.06.24及之后发布的,所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户,但是根据部分受害者的反馈并不知道SlopeWallet,也没有使用SlopeWallet。

那么按照Solanafoundation统计的数据看,30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。

但是另外60%被盗用户使用的是Phantom钱包,这些受害者是怎样被盗呢?

在对Phantom钱包进行分析,发现Phantom也有使用Sentry服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。

一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点:

1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?

2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?

3.另外60%被盗用户被黑的原因是什么呢?

4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?

已知攻击者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

Solanafoundation统计的数据:

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:0ms0-0:675ms