元宇宙非小号金色财经交流群社区官网

慢雾:Solana公链大规模盗币事件分析

Time:2022-08-04 Click:266


Solana 公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。

Slope 钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solana foundation 提供的数据显示近 60% 被盗用户使用 Phantom 钱包,30% 左右地址使用 Slope 钱包,其余用户使用 Trust Wallet 等,并且 iOS 和 Android 版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。

分析过程

在分析 Slope Wallet(Android, Version: 2.2.2的时候,发现 Slope Wallet(Android, Version: 2.2.2使用了 Sentry 的服务,Sentry 是一个被广泛应用的服务,Sentry 运行在 o7e.slope.finance 域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到 https://o7e.slope.finance/api/4/envelope/。

慢雾:Solana公链大规模盗币事件分析

继续分析 Slope Wallet,我们发现 Version: >=2.2.0 的包中 Sentry 服务会将助记词发送到 "o7e.slope.finance",而 Version: 2.1.3 并没有发现采集助记词的行为。

Slope Wallet 历史版本下载:

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

Slope Wallet(Android, >= Version: 2.2.0是在 2022.06.24 及之后发布的,所以受到影响的是 2022.06.24 以及之后使用 Slope Wallet(Android, >= Version: 2.2.0的用户,但是根据部分受害者的反馈并不知道 Slope Wallet,也没有使用 Slope Wallet。

慢雾:Solana公链大规模盗币事件分析

那么按照 Solana foundation 统计的数据看,30% 左右受害者地址的助记词可能被 Slope Wallet(Version: >=2.2.0Sentry 的服务采集发送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服务器上。

但是另外 60% 被盗用户使用的是 Phantom 钱包,这些受害者是怎样被盗呢?

在对 Phantom(Version:22.07.11_65钱包进行分析,发现 Phantom(Android, Version:22.07.11_65也有使用 Sentry 服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。(Phantom Wallet 历史版本的安全风险慢雾安全团队还在分析中

一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外 60% 被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为 Solana 生态略尽绵薄之力。如下是分析过程中的一些疑问点:

1. Sentry 的服务收集用户钱包助记词的行为是否属于普遍的安全问题?

2. Phantom 使用了 Sentry,那么 Phantom 钱包会受到影响吗?

3. 另外 60% 被盗用户被黑的原因是什么呢?

4. Sentry 作为一个使用非常广泛的服务,会不会是 Sentry 官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?

已知攻击者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

Solana foundation 统计的数据:

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637(需要申请访问权限

标签:SOL solana 公链 慢雾 盗币

  • 慢雾:Solana公链大规模盗币事件后续分析

    慢雾:Solana公链大规模盗币事件后续分析

    T:

    背景概述 2022 年 8 月 3 日,Solana 公链上发生大规模盗币事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币。慢雾安全团队第一时间介入分析,并在 Slope 团队的邀请下对 Slope 钱包应用进行分析,分析表...

  • 慢雾:Solana 公链大规模盗币事件的分析

    慢雾:Solana 公链大规模盗币事件的分析

    T:

    ​背景概述2022 年 8 月 3 日,Solana 公链上发生大规模盗币事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币。慢雾安全团队第一时间介入分析,并在 Slope 团队的邀请下对 Slope 钱包应用进行分析,分析表明...

  • 黑客盗币or蓄意跑路,FTX“卷款”事件全分析(持续更新)

    黑客盗币or蓄意跑路,FTX“卷款”事件全分析(持续更新)

    T:

    市场尚未从FTX大厦倾塌、几日宣布破产重组的震惊中恢复,一波未平,一波又起。近日以来,尽管用户存款无法提取,但FTX依在开放交易,用户的存款也被戏称为“欢乐豆”,不少用户扔抱有希望进行操作。而今日上午开始,用户存款数值、充提记录、交易记录都...

    币圈相关新闻
本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )