慢霧 | Solana 盜幣事件最新分析 : Slope 使用的 Sentry 服務採集助記詞行為

agoda

流量密碼 提供 科技娛樂流行穿搭影劇遊戲電競開箱資訊正妹網紅女神 等各類新聞資訊等,發燒話題永不退流行,讓您第一手快速掌握,快速更新文章及最新消息的發布就是我們的宗旨,只要隨時關注流量密碼資訊就是掌握 流量密碼

流量密碼推播群,掌握第一手資訊

Solana 生態錢包昨日遭受大規模攻擊,有超過 9 千個錢包被盜、總損失超 400 萬美元。慢霧安全團隊的最新分析指出,Slope Wallet 受到攻擊恐與 Sentry 服務有關,他們發現該服務會採集助記詞和私鑰等敏感數據。
(前情提要:Solana錢包遭駭調查報告「不是公鏈問題是Slope」; SBF:Sol是現在最被低估的幣

 

2022 年 8 月 3 日,Solana 公鏈上發生大規模盜幣的事件,大量用戶在不知情的情況下被轉移 SOL 和 SPL 代幣,慢霧安全團隊對此事件進行跟蹤和分析,從鏈上行為到鏈下的應用逐一排查,目前已有新的進展。

Slope 錢包團隊邀請慢霧安全團隊一同分析和跟進,經過持續的跟進和分析,Solana Foundation 提供的數據顯示,近 60% 被盜用戶使用 Phantom 錢包,30% 左右地址使用 Slope 錢包,其餘用戶使用 Trust Wallet 等,並且 iOS 和 Android 版本的應用都有相應的受害者,於是我們開始聚焦分析錢包應用可能的風險點。

延伸閱讀:Phantom等Solana錢包大規模遭駭!慢霧:逾8000個地址被盜、總損失估450萬鎂

分析過程

在分析 Slope Wallet(Android, Version: 2.2.2)的時候,發現 Slope Wallet(Android, Version: 2.2.2)使用了 Sentry 的服務,Sentry 是一個被廣泛應用的服務,Sentry 運行在 o7e.slope.finance 域名下,在創建錢包的時候會將助記詞和私鑰等敏感數據發送到 https://o7e.slope.finance/api/4/envelope/。

慢霧繼續分析 Slope Wallet,我們發現 Version: >=2.2.0 的包中 Sentry 服務會將助記詞發送到 “o7e.slope.finance”,而 Version: 2.1.3 並沒有發現採集助記詞的行為。

Slope Wallet 歷史版本下載: https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

Slope Wallet(Android, >= Version: 2.2.0)是在 2022.06.24 及之後發布的,所以受到影響的是 2022.06.24 以及之後使用 Slope Wallet(Android, >= Version: 2.2.0)的用戶,但是根據部分受害者的反饋並不知道 Slope Wallet,也沒有使用 Slope Wallet。

那麼按照 Solana Foundation 統計的數據看,30% 左右受害者地址的助記詞可能被 Slope Wallet(Version: >=2.2.0)Sentry 的服務採集發送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 伺服器上。

但是另外 60% 被盜用戶使用的是 Phantom 錢包,這些受害者是怎樣被盜呢?

在對 Phantom(Version:22.07.11_65)錢包進行分析,發現 Phantom(Android, Version:22.07.11_65)也有使用 Sentry 服務來收集用戶的資訊,但並沒有發現明顯的收集助記詞或私鑰的行為。 (Phantom Wallet 歷史版本的安全風險慢霧安全團隊還在分析中)

一些疑問點

慢霧安全團隊還在不斷收集更多資訊來分析另外 60% 被盜用戶被駭的原因,如果你有任何的思路歡迎一起討論,希望能一起為 Solana 生態略盡綿薄之力。如下是分析過程中的一些疑問點:

1. Sentry 的服務收集用戶錢包助記詞的行為是否屬於普遍的安全問題?

2. Phantom 使用了 Sentry,那麼 Phantom 錢包會受到影響嗎?

3. 另外 60% 被盜用戶被駭的原因是什麼呢?

4. Sentry 作為一個使用非常廣泛的服務,會不會是 Sentry 官方遭遇了入侵?從而導致了定向入侵虛擬貨幣生態的攻擊?

___

參考資訊

已知攻擊者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

 

受害者地址:

https://dune.com/awesome/solana-hack

 

Solana foundation 統計的數據:

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637(需要申請訪問權限)

好文章出於 動區

分享