ALL:慢雾:Solana 公链大规模盗币事件的分析

2022年8月3日,Solana公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。

Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。

分析过程

在分析SlopeWallet的时候,发现SlopeWallet使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.finance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。

安全公司:超1.1亿枚USDC从Circle转至Alameda Research相关地址:11月17日消息,据派盾监测数据显示,近期有超1.1亿枚USDC从Circle转至Alameda Research相关地址。[2022/11/17 13:15:21]

继续分析SlopeWallet,我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance",而Version:2.1.3并没有发现采集助记词的行为。

DogeCoin市值超越ADA位居全球加密货币市值排名第8位:金色财经报道,CoinMarketCap数据显示,DogeCoin市值超越ADA位居全球加密货币市值排名第8位,当前市值为156.28亿美元,ADA市值为142.59亿美元位居全球加密货币市值排名第9位。DogeCoin过去24小时上涨42.38%,现报0.1193美元。[2022/10/30 11:57:49]

SlopeWallet历史版本下载:

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

SlopeWallet是在2022.06.24及之后发布的,所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户,但是根据部分受害者的反馈并不知道SlopeWallet,也没有使用SlopeWallet。

Polygon黑客马拉松前50项目瓜分50万美元:9月16日消息,Polygon宣布了BUIDL IT Summer2022黑客马拉松的获胜者,其表示将有超50万美元的资源来帮助前50的项目开发人员建立一个更加公平的网络。据悉,今年提交的项目数量是去年的3.6倍,来自118个国家超过650个项目团队参加。[2022/9/16 7:00:03]

Serum推出新交易界面Vybe DEX:8月11日消息,Solana生态去中心化交易平台Serum宣布推出数据驱动的交易界面Vybe DEX,该交易平台由Serum的中央限价订单簿和匹配引擎提供支持,由Vybe Network构建和托管。

Vybe DEX允许用户以易于使用的界面进行交易,体验类似于在Coinbase Pro或FTX等中心化交易所进行交易。该界面的功能包括为所有Serum市场下限价和市价单、查看未结订单和交易历史、实时和历史图表数据、订单簿流动性统计、SPL代币以及市场深度图表。[2022/8/11 12:17:24]

那么按照Solanafoundation统计的数据看,30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。

但是另外60%被盗用户使用的是Phantom钱包,这些受害者是怎样被盗呢?

在对Phantom钱包进行分析,发现Phantom也有使用Sentry服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。

一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点:

1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?

2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?

3.另外60%被盗用户被黑的原因是什么呢?

4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?

参考信息

已知攻击者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址:

https://dune.com/awesome/solana-hack

Solanafoundation统计的数据:

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

币安币WEB:Web 3.0社交应用的展望(二)

当我在加密生态中谈论Web3.0的时候,我的立足点一定是基于公有区块链的。因此,我所谈的Web3.0应用一定是基于公有区块链的各种应用,即去中心化应用.

[0:15ms0-0:869ms