2022 年 8 月 3 日,Solana 公链上产生大规模盗币的事情,很多用户在不知情的情况下被搬运 SOL 和 SPL 代币,慢雾安全团队对此事情进行跟踪和剖析,从链上行为到链下的运用逐个排查,现在已有新的发展。
Slope 钱包团队约请慢雾安全团队一同剖析和跟进,经过持续的跟进和剖析,Solana foundation 供给的数据显示近 60% 被盗用户运用 Phantom 钱包,30% 左右地址运用 Slope 钱包,其余用户运用 Trust Wallet 等,而且 iOS 和 Android 版别的运用都有相应的受害者,所以我们开始聚集剖析钱包运用或许的危险点。
剖析进程
在剖析 Slope Wallet(Android, Version: 2.2.2)的时候,发现 Slope Wallet(Android, Version: 2.2.2)运用了 Sentry 的服务,Sentry 是一个被广泛运用的服务,Sentry 运行在 o7e.slope.finance 域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到 https://o7e.slope.finance/api/4/envelope/。
持续剖析 Slope Wallet,我们发现 Version: >=2.2.0 的包中 Sentry 服务会将助记词发送到 "o7e.slope.finance",而 Version: 2.1.3 并没有发现搜集助记词的行为。
Slope Wallet 历史版别下载:
https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions
Slope Wallet(Android, >= Version: 2.2.0)是在 2022.06.24 及之后发布的,所以受到影响的是 2022.06.24 以及之后运用 Slope Wallet(Android, >= Version: 2.2.0)的用户,可是依据部分受害者的反馈并不知道 Slope Wallet,也没有运用 Slope Wallet。
那么按照 Solana foundation 计算的数据看,30% 左右受害者地址的助记词或许被 Slope Wallet(Version: >=2.2.0)Sentry 的服务搜集发送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服务器上。
可是别的 60% 被盗用户运用的是 Phantom 钱包,这些受害者是怎样被盗呢?
在对 Phantom(Version:22.07.11_65)钱包进行剖析,发现 Phantom(Android, Version:22.07.11_65)也有运用 Sentry 服务来搜集用户的信息,但并没有发现明显的搜集助记词或私钥的行为。(Phantom Wallet 历史版别的安全危险慢雾安全团队还在剖析中)
一些疑问点
慢雾安全团队还在不断搜集更多信息来剖析别的 60% 被盗用户被黑的原因,如果你有任何的思路欢迎一同讨论,希望能一同为 Solana 生态略尽绵薄之力。如下是剖析进程中的一些疑问点:
1. Sentry 的服务搜集用户钱包助记词的行为是否属于普遍的安全问题?
2. Phantom 运用了 Sentry,那么 Phantom 钱包会受到影响吗?
3. 别的 60% 被盗用户被黑的原因是什么呢?
4. Sentry 作为一个运用十分广泛的服务,会不会是 Sentry 官方遭遇了侵略?从而导致了定向侵略虚拟钱银生态的进犯?
参阅信息
已知进犯者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
受害者地址:
https://dune.com/awesome/solana-hack
Solana foundation 计算的数据:
https://www.odaily.news/newsflash/294440
https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co
https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637(需求请求访问权限)
