以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

LET:慢霧:Solana 公鏈大規模盜幣事件的分析

Author:

Time:1900/1/1 0:00:00

2022 年 8 月 3 日,Solana 公鏈上發生大規模盜幣的事件,大量用戶在不知情的情況下被轉移 SOL 和 SPL 代幣,慢霧安全團隊對此事件進行跟蹤和分析,從鏈上行為到鏈下的應用逐一排查,目前已有新的進展。

Slope 錢包團隊邀請慢霧安全團隊一同分析和跟進,經過持續的跟進和分析,Solana foundation 提供的數據顯示近 60% 被盜用戶使用 Phantom 錢包,30% 左右地址使用 Slope 錢包,其余用戶使用 Trust Wallet 等,并且 iOS 和 Android 版本的應用都有相應的受害者,于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

在分析 Slope Wallet(Android, Version: 2.2.2)的時候,發現 Slope Wallet(Android, Version: 2.2.2)使用了 Sentry 的服務,Sentry 是一個被廣泛應用的服務,Sentry 運行在 o7e.slope.finance 域名下,在創建錢包的時候會將助記詞和私鑰等敏感數據發送到 https://o7e.slope.finance/api/4/envelope/。

慢霧:Platypus再次遭遇攻擊,套利者獲取約5萬美元收益:7月12日消息,SlowMist發推稱,穩定幣項目Platypus似乎再次收到攻擊。由于在通過CoverageRatio進行代幣交換時沒有考慮兩個池之間的價格差異,導致用戶可以通過存入USDC然后提取更多USDT來套利,套利者通過這種方式套利了大約50,000美元USDC。[2023/7/12 10:50:27]

繼續分析 Slope Wallet,我們發現 Version: >=2.2.0 的包中 Sentry 服務會將助記詞發送到 "o7e.slope.finance",而 Version: 2.1.3 并沒有發現采集助記詞的行為。

慢霧:疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息,慢霧監測顯示,疑似加密交易所Gemini相關地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在過去5小時內歸集并轉出逾20萬枚ETH(超3億美元)。[2022/7/19 2:22:08]

Slope Wallet 歷史版本下載:

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

Slope Wallet(Android, >= Version: 2.2.0)是在 2022.06.24 及之后發布的,所以受到影響的是 2022.06.24 以及之后使用 Slope Wallet(Android, >= Version: 2.2.0)的用戶,但是根據部分受害者的反饋并不知道 Slope Wallet,也沒有使用 Slope Wallet。

慢霧:跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件,慢霧安全團隊分析指出:本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址,并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

慢霧: 警惕比特幣RBF風險:據BitMEX消息,比特幣于區塊高度666833出現陳腐區塊,并產生了一筆 0.00062063 BTC 的雙花交易。根據 BitMEX提供的交易內容來看,雙花的兩筆交易的nSequence字段的值都小于0xffffffff -1。慢霧安全團隊初步認為此次雙花交易有可能是比特幣中的RBF交易。[2021/1/20 16:38:01]

那么按照 Solana foundation 統計的數據看,30% 左右受害者地址的助記詞可能被 Slope Wallet(Version: >=2.2.0)Sentry 的服務采集發送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服務器上。

但是另外 60% 被盜用戶使用的是 Phantom 錢包,這些受害者是怎樣被盜呢?

在對 Phantom(Version:22.07.11_65)錢包進行分析,發現 Phantom(Android, Version:22.07.11_65)也有使用 Sentry 服務來收集用戶的信息,但并沒有發現明顯的收集助記詞或私鑰的行為。(Phantom Wallet 歷史版本的安全風險慢霧安全團隊還在分析中)

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外 60% 被盜用戶被黑的原因,如果你有任何的思路歡迎一起討論,希望能一起為 Solana 生態略盡綿薄之力。如下是分析過程中的一些疑問點:

1. Sentry 的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題?

2. Phantom 使用了 Sentry,那么 Phantom 錢包會受到影響嗎?

3. 另外 60% 被盜用戶被黑的原因是什么呢?

4. Sentry 作為一個使用非常廣泛的服務,會不會是 Sentry 官方遭遇了入侵?從而導致了定向入侵虛擬貨幣生態的攻擊?

參考信息

已知攻擊者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址:

https://dune.com/awesome/solana-hack

Solana foundation 統計的數據:

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637(需要申請訪問權限)

Tags:SLOPEALLLETIONSLOPE價格trustwallet錢包下載v2.1.2安卓版trustwallet錢包地址忘記了Salvation Finance

幣安app下載
POW:金色觀察|礦工分叉PowETH 業內作何評價?

經幾次延遲后,以太坊似乎終于將在2022年9月開啟合并進程。然而,伴隨著合并的到來,PoWETH的呼聲與爭議聲也越來越大.

1900/1/1 0:00:00
COIN:金色趨勢丨大波動只會遲到 不會缺席

動態 | FCoin獲金色財經2019區塊鏈百強企業:2019年12月27日,由金色財經主辦的“與時共創”頒獎盛典在京舉行.

1900/1/1 0:00:00
代幣化:DAO:代幣化社區和代幣化經濟

代幣化是網絡和社區激勵集體價值創造的一種機制,使貢獻者能夠參與和分享價值。這就是為什么我仍然相信社區是Web3技術和工具最引人注目的殺手級應用.

1900/1/1 0:00:00
THE:以太坊倫敦升級一周年 EIP-1559帶來了哪些故事?

原文作者:iambabywhale.eth2021 年,以太坊經歷了兩輪比較重要的硬分叉升級。首先是在區塊高度 12,244,000 的柏林硬分叉,升級內容包括了對合約的各種優化,涵蓋 Gas.

1900/1/1 0:00:00
區塊鏈:金色觀察|PaddleDTX:分布式機器學習解決方案

PaddleDTX 是一個基于分布式存儲的分布式機器學習技術解決方案。可以解決海量私有數據需要的安全存儲和交換難題,可惡意幫助各方突破數據孤島,實現數據價值最大化.

1900/1/1 0:00:00
OIN:下一代互聯網Skywire競爭對手分析(五)總結篇

前面介紹到,Skywire的競爭對手可以分為以下四大類:1. ?傳統的互聯網服務提供商(ISP):如:Comcast,AT&T,Verizon,Virgin Media,中國電信,BSNL.

1900/1/1 0:00:00
ads