Solana公链大规模盗币事件的分析

Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solana foundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。

Solana公链大规模盗币事件的分析

背景概述

2022年8月3日,Solana公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。

Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solana foundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。

分析过程

在分析SlopeWallet(Android,Version:2.2.2)的时候,发现SlopeWallet(Android,Version:2.2.2)使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.finance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。

Solana公链大规模盗币事件的分析

继续分析SlopeWallet,我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到”o7e.slope.finance”,而Version:2.1.3并没有发现采集助记词的行为。

SlopeWallet历史版本下载:

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

SlopeWallet(Android,>=Version:2.2.0)是在2022.06.24及之后发布的,所以受到影响的是2022.06.24以及之后使用SlopeWallet(Android,>=Version:2.2.0)的用户,但是根据部分受害者的反馈并不知道SlopeWallet,也没有使用SlopeWallet。

Solana公链大规模盗币事件的分析

那么按照Solanafoundation统计的数据看,30%左右受害者地址的助记词可能被SlopeWallet(Version:>=2.2.0)Sentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。

但是另外60%被盗用户使用的是Phantom钱包,这些受害者是怎样被盗呢?

在对Phantom(Version:22.07.11_65)钱包进行分析,发现Phantom(Android,Version:22.07.11_65)也有使用Sentry服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。(PhantomWallet历史版本的安全风险慢雾安全团队还在分析中)

一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点:

1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?

2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?

3.另外60%被盗用户被黑的原因是什么呢?

4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?

参考信息

已知攻击者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址:

https://dune.com/awesome/solana-hack

(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)

(0)
上一篇 2022年8月3日 下午10:09
下一篇 2022年8月4日 下午12:07

相关推荐

  • 一文了解跨链市场交易现状

    随着Web3中公链和汇总层的不断增加,许多应用都构建在不同的孤立生态上。尽管其中一些应用部署在多个区块链和汇总层上,但它们的流动性不可避免地碎片化,给用户带来不便。此外,用户通过中心化交易所或笨拙的跨链桥将资产转移到不同的生态系统是很麻烦的。

    2022年8月18日
  • a16z:如何更好的治理Web3 ?

    Web3 为社区治理创建了一个全新“实验室”,公共激励和私人激励相互交织,项目也具有开源和营利性,公共产品与私人项目得以共存。在 Web3 中,治理是连续的,参与是完全开放的,执行是迅速的。

    2022年7月12日
  • 抢先体验跨链交易聚合器Magpie Protocol

    据 Magpie 项目文档显示,Magpie 的跨链交易路径为:将原链上的非稳定币资产通过 DEX 交易为稳定币(若是稳定币则无需该步骤),之后通过基于 LayerZero 的跨链桥 Stargate 进行稳定币跨链交易。与此同时,若用户希望在目标链上获取的资产也非稳定币,Magpie 则会通过跨链互操作性协议 Wormhole 传递相关信息,使得跨链至目标链上的稳定币会再次通过 DEX 交易为目标资产。

    2022年12月12日

发表回复

登录后才能评论
微信

联系我们
邮箱:whylweb3@163.com
微信:gaoshuang613