Solana公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。
Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。
分析过程
中国网信网发布关于开展2023年区块链创新应用案例征集活动的通知:金色财经报道,?中国网信网发布关于开展2023年区块链创新应用案例征集活动的通知,为推进国家区块链创新应用试点工作,总结推广我国区块链技术与产业融合创新的优秀经验做法,促进区块链技术和经济社会发展的深度融合,在中央网信办信息化发展局的指导下,中央网信办数据与技术保障中心(以下简称中央网信办数据中心)开展区块链创新应用案例征集工作。
有关事项通知如下:一、征集内容以区块链技术与产业融合发展为主题,围绕创新产品、创新应用、创新服务模式等方向,分为实体经济、社会治理、民生服务、金融科技等主题。二、征集对象为在中华人民共和国境内注册登记、具有独立主体资格的党政部门、企事业单位、社会组织等。三、征集时间2023年8月21日至9月10日。[2023/8/28 13:00:44]
在分析SlopeWallet的时候,发现SlopeWallet使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.finance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。
奇虎360发布了一条关于比特币的广告:奇虎360发布了一条关于比特币的广告,声称其杀软件如果防不了黑客的敲诈就由360来赔付最高3BTC。[2021/5/6 21:29:14]
继续分析SlopeWallet,我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance",而Version:2.1.3并没有发现采集助记词的行为。
SlopeWallet历史版本下载:
https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions
TopBtc发布关于Ormeus coin上线交易的公告:Ormeus coin将于中国时间2018年4月23日10:00点开通充币,中国时间2018年4月26日15:00点开通提币及交易功能。ORME是一个开创性的数字货币系统,通过世界上最大的工业cryptocurrency采矿业务之一。[2018/4/23]
SlopeWallet是在2022.06.24及之后发布的,所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户,但是根据部分受害者的反馈并不知道SlopeWallet,也没有使用SlopeWallet。
分析 | 比特币价格跟不上哈希率的增长 这是造成灾难的原因:12月26日消息,分析师Vincent Launay表示,比特币的价格在2017年涨幅达到1400%,但哈希率 “仅”在同一时期增长了550%,因为哈希率滞后于价格上涨,矿工在2017年获得了意外的利润,在经济学中,这就是所谓的超额利润。经济学家预计,当出现超额利润时,其他竞争者迅速加入,供需平衡很快恢复正常,最终将超额利润降至零。2017年1月至2018年12月16日,比特币的价格从1000美元涨到了3200美元,涨幅高达220%,而哈希率在2018年9月达到峰值,上涨了2500%,因此,矿工对新发行的比特币的竞争比以往任何时候都更加激烈,而比特币的价格却跟不上哈希率的增长,这是造成灾难的原因。[2018/12/26]
那么按照Solanafoundation统计的数据看,30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。
但是另外60%被盗用户使用的是Phantom钱包,这些受害者是怎样被盗呢?
在对Phantom钱包进行分析,发现Phantom也有使用Sentry服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。
一些疑问点
慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点:
1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?
2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?
3.另外60%被盗用户被黑的原因是什么呢?
4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?
已知攻击者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
Solanafoundation统计的数据:
https://www.odaily.news/newsflash/294440
https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co
https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。