Slope 公布攻擊調查進展：除此前 Sentry 服務器實施問題外未發現其他漏洞_SLOPE:ENTR

鏈捕手消息，Solana生態錢包Slope更新攻擊調查進展表示，在調查和多方審查期間除此前Sentry服務器實施問題外未發現其他漏洞，獨立審計發現包括：

Slope安全事件更新：6月24日的錢包版本向Sentry發送了私鑰，無法證明根本原因在于Slope:8月17日消息，Slope今日公布了8月2日安全事件相關外部審計報告。報告稱，分析表明，2022年6月24日發布的Slope錢包版本向Sentry的服務發送了私鑰或助記詞（報告所涉及的Sentry服務是指Slope團隊私下部署的Sentry服務，并非Sentry官方提供的接口和服務）。但是，從對Slope錢包應用的調查到現在，無法明確證明事件的根本原因在于Slope錢包，于是慢霧安全團隊開始在Slope服務器上進行分析取證，需要進一步的證據來解釋這次事件的根本原因。

目前，通過對鏈下服務器和相關的后端服務的分析發現，未發現直接入侵外圍服務器的漏洞點，未發現服務器入侵痕跡。在對服務器入侵痕跡分析中，未發現服務器入侵痕跡。但可疑IP（113.*.*.*,114.*.*.*,153.*.*.*）仍需排查，此外，未在客戶端-服務器通信中發現DNS劫持的證據。在鏈上分析中，風險資本評估未發現大額可轉移風險資金和潛在風險資金。截至本文發表時，被盜資金并未進一步轉移。[2022/8/17 12:31:05]

一、從7月28日到8月3日，Slope錢包在移動設備上的Sentry服務器實施存在一個漏洞，在應用程序生成錯誤事件的情況下，該漏洞會無意中記錄敏感數據；二、沒有證據表明所有安全層都受到損害。所有到Sentry服務器的傳輸都通過HTTPS端到端加密進行保護，并且通過三因素身份驗證控制對Sentry服務器的訪問。

Slope回應：未在集中式服務器上存儲個人數據，仍在調查具體原因:8月4日消息，針對Solana生態錢包大規模攻擊事件，Slope發布公告稱，根據目前了解的情況，很多Slope錢包遭到入侵，Slope許多員工和創始人的錢包也被盜了。Slope關于攻擊事件起因有一些假設，但尚未確定。Slope正在積極開展內部調查和審計，與頂級外部安全和審計團隊合作；正與整個生態系統中的開發人員、安全專家和協議合作，努力識別和糾正這些問題。

Slope建議所有用戶采取以下措施：創建一個新的、獨立的種子短語錢包，并將所有資產轉移到新錢包。同樣，不建議在新錢包上使用與Slope上相同的種子短語。硬件錢包仍然是安全的。

此外，Slope的公告沒有說明是否可能與私鑰存儲問題有關。一位Slope代表告訴CoinDesk，“我們不會在集中式服務器上存儲任何個人數據。”

據此前報道，Solana?Labs首席執行官Anatoly Yakovenko最初在推特上表示，他懷疑該漏洞可能與Apple iOS供應鏈攻擊有關，但后來將源頭縮小到對Slope集中式服務器的黑客攻擊，其中私鑰似乎以純文本形式存儲。Twitter 上的其他開發人員也推測，Slope將私鑰以明文形式存儲在集中式服務器上，而攻擊者已將其破壞。（CoinDesk）[2022/8/4 2:57:58]

三、Ottersec之前所證實，調查團隊已經交叉比較了所有被黑地址與Sentry數據庫中漏洞的所有暴露地址，發現所有被黑地址的數量大于從Sentry服務器公開的地址總數，Sentry服務器的總暴露地址中的小部分已確認被耗盡。Slope團隊將繼續獲得定期審計報告，并與安全專業人員密切合作。

Chia Network宣布完成500萬美元融資，Slow Ventures領投:Chia Network宣布完成500萬美元融資，Slow Ventures領投、Collab Crypto、IDEO和Naval Ravikant等機構參投

Chia Network是由BitTorrent的編寫者Bram Cohen所創建，旨在創建一個可編程的貨幣平臺。據悉，Chia Network從2017年成立至今已獲得大約1600萬美元風險投資。Cohen表示，該資金將會用于團隊發展。（CoinDesk）[2020/8/14]

Tags：SLOPEENTSENTENTRSLOPE價格AscentPadThe Essential CoinDecentralized Pirates

Gate交易所