2022 年 8 月 3 日,Solana 公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。
Slope 钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solana foundation 提供的数据显示近 60% 被盗用户使用 Phantom 钱包,30% 左右地址使用 Slope 钱包,其余用户使用 Trust Wallet 等,并且 iOS 和 Android 版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。
分析过程
在分析 Slope Wallet(Android, Version: 2.2.2)的时候,发现 Slope Wallet(Android, Version: 2.2.2)使用了 Sentry 的服务,Sentry 是一个被广泛应用的服务,Sentry 运行在 o7e.slope.finance 域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到 https://o7e.slope.finance/api/4/envelope/。
慢雾:Quixotic黑客盗取约22万枚OP,跨链至BNB Chain后转入Tornado Cash:7月1日消息,据慢雾分析,Quixotic黑客盗取了大约22万枚OP(约11.9万美元),然后将其兑换成USDC并跨链到BNB Chain,之后将其兑换成BNB并转入Tornado Cash。[2022/7/1 1:44:55]
继续分析 Slope Wallet,我们发现 Version: >=2.2.0 的包中 Sentry 服务会将助记词发送到 "o7e.slope.finance",而 Version: 2.1.3 并没有发现采集助记词的行为。
慢雾:美国演员SethGreen的NFT遭钓鱼攻击,资金已跨链到 BTC 并混币:5月18日消息,美国演员SethGreen遭遇钓鱼攻击致4个NFT(包括1个BAYC、2个MAYC和1个Doodle)被盗,钓鱼者地址已将NFT全部售出,获利近160枚ETH(约33万美元)。
慢雾MistTrack对0xC8a0907开头的钓鱼地址分析后,发现总共有8个用户的NFT被盗,包含MAYC、Doodle、BAYC、VOX等12类NFT,全部售出后总获利194ETH。同时,该钓鱼地址初始资金0.188ETH来自Change NOW。钓鱼者地址将大部分ETH转换为renBTC后跨链到6个BTC地址,约14BTC均通过混币转移以躲避追踪。NFT钓鱼无处不在,请大家保持怀疑,提高警惕。[2022/5/18 3:24:23]
Slope Wallet 历史版本下载:
慢雾:去中心化期权协议Acutus的ACOWriter合约存在外部调用风险:据慢雾区消息,2022年3月29日,Acutus的ACOWriter合约遭受攻击,其中_sellACOTokens函数中外部调用用到的_exchange和exchangeData参数均为外部可控,攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗风险。[2022/3/29 14:25:07]
https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions
Slope Wallet(Android, >= Version: 2.2.0)是在 2022.06.24 及之后发布的,所以受到影响的是 2022.06.24 以及之后使用 Slope Wallet(Android, >= Version: 2.2.0)的用户,但是根据部分受害者的反馈并不知道 Slope Wallet,也没有使用 Slope Wallet。
声音 | 慢雾:采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破,该攻击团伙(floatingsnow等)的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前,慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见,强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]
那么按照 Solana foundation 统计的数据看,30% 左右受害者地址的助记词可能被 Slope Wallet(Version: >=2.2.0)Sentry 的服务采集发送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服务器上。
但是另外 60% 被盗用户使用的是 Phantom 钱包,这些受害者是怎样被盗呢?
在对 Phantom(Version:22.07.11_65)钱包进行分析,发现 Phantom(Android, Version:22.07.11_65)也有使用 Sentry 服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。(Phantom Wallet 历史版本的安全风险慢雾安全团队还在分析中)
一些疑问点
慢雾安全团队还在不断收集更多信息来分析另外 60% 被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为 Solana 生态略尽绵薄之力。如下是分析过程中的一些疑问点:
1. Sentry 的服务收集用户钱包助记词的行为是否属于普遍的安全问题?
2. Phantom 使用了 Sentry,那么 Phantom 钱包会受到影响吗?
3. 另外 60% 被盗用户被黑的原因是什么呢?
4. Sentry 作为一个使用非常广泛的服务,会不会是 Sentry 官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?
参考信息
已知攻击者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
受害者地址:
https://dune.com/awesome/solana-hack
Solana foundation 统计的数据:
https://www.odaily.news/newsflash/294440
https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co
https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637(需要申请访问权限)
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。