背景概述
2022年8月3日,Solana公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。分析过程
知情人士:币安曾于2020年和2021年将客户资金与公司收入混合在一起:5月23日消息,据三位知情人士报道,币安曾于2020年和2021年将客户资金与公司收入混合在一起,违反了美国要求客户资金分离的金融规则。一位直接了解币安财务状况的人士表示,这笔款项高达数十亿美元,并且几乎每天都在Silvergate Bank持有的账户中发生混合。路透社表示,无法独立核实这些数字或频率。但审查的银行记录显示,2021年2月10日,币安将来自公司账户的2000万美元与来自接收客户资金的账户的1500万美元混合在一起。路透社表示没有发现币安客户资金丢失或被拿走的证据。[2023/5/23 15:21:27]
在分析SlopeWallet的时候,发现SlopeWallet使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.finance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。
去中心化RPC协议Pocket Network将扩展至Fantom网络:4月26日消息,去中心化RPC协议Pocket Network计划扩展至Fantom网络,本周晚些时候将公布更多信息。[2022/4/26 5:12:25]
继续分析SlopeWallet,我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance",而Version:2.1.3并没有发现采集助记词的行为。SlopeWallet历史版本下载:https://apkpure.com/cn/slope-wallet/com.wd.wallet/versionsSlopeWallet是在2022.06.24及之后发布的,所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户,但是根据部分受害者的反馈并不知道SlopeWallet,也没有使用SlopeWallet。
去中心化交易所TDEX今日开启早期访问:金色财经报道,在Liquid网络上建立的去中心化交易所TDEX将于今日进入早期访问阶段。该交易数使用的TSWAP协议专注于特别原子交换(Atomic Swaps),这是一种不需要中介就可以在两个交易方之间进行交易的方式。[2020/9/8]
那么按照Solanafoundation统计的数据看,30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。但是另外60%被盗用户使用的是Phantom钱包,这些受害者是怎样被盗呢?在对Phantom钱包进行分析,发现Phantom也有使用Sentry服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。一些疑问点
声音 | 赵长鹏:币安去中心化交易所测试版在一两周后发布,BNB将从以太坊迁移至币安公链:币安创始人赵长鹏在一个在线问答中表示,构建在币安公链(Binance Chain)上的币安去中心化交易所的测试版本将在一两周后发布,BNB 将从以太坊 ERC20 代币迁移至币安公链。赵长鹏透露,Binance Chain 构建在 Cosmos 的 Tendermint 协议之上,采用 DPoS 和 BFT 共识。[2019/2/8]
慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点:1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?3.另外60%被盗用户被黑的原因是什么呢?4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?参考信息
已知攻击者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxVCEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3nGeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy受害者地址:
https://dune.com/awesome/solana-hackSolanafoundation统计的数据:
https://www.odaily.news/newsflash/294440https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.cohttps://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。