慢霧：Solana 公鏈大規模盜幣事件的分析_LLE:mathwallet錢包app下載

2022 年 8 月 3 日，Solana 公鏈上發生大規模盜幣的事件，大量用戶在不知情的情況下被轉移 SOL 和 SPL 代幣，慢霧安全團隊對此事件進行跟蹤和分析，從鏈上行為到鏈下的應用逐一排查，目前已有新的進展。

Slope 錢包團隊邀請慢霧安全團隊一同分析和跟進，經過持續的跟進和分析，Solana foundation 提供的數據顯示近 60% 被盜用戶使用 Phantom 錢包，30% 左右地址使用 Slope 錢包，其余用戶使用 Trust Wallet 等，并且 iOS 和 Android 版本的應用都有相應的受害者，于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

在分析 Slope Wallet（Android, Version: 2.2.2）的時候，發現 Slope Wallet（Android, Version: 2.2.2）使用了 Sentry 的服務，Sentry 是一個被廣泛應用的服務，Sentry 運行在 o7e.slope.finance 域名下，在創建錢包的時候會將助記詞和私鑰等敏感數據發送到 https://o7e.slope.finance/api/4/envelope/。

慢霧：近期出現新的流行惡意盜幣軟件Mystic Stealer，可針對40款瀏覽器、70款瀏覽器擴展進行攻擊:6月20日消息，慢霧首席信息安全官@IM_23pds在社交媒體上發文表示，近期已出現新的加密貨幣盜竊軟件Mystic Stealer，該軟件可針對40款瀏覽器、70款瀏覽器擴展、加密貨幣錢包進行攻擊，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名錢包，是目前最流行的惡意軟件，請用戶注意風險。[2023/6/20 21:49:05]

繼續分析 Slope Wallet，我們發現 Version: >=2.2.0 的包中 Sentry 服務會將助記詞發送到 "o7e.slope.finance"，而 Version: 2.1.3 并沒有發現采集助記詞的行為。

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

Slope Wallet 歷史版本下載：

慢霧：靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息，據慢霧區情報，靚號黑客地址之一（0xf358..7036）已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元，并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現，黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前，黑客已經接收到超過17萬美元的資金，資金沒有進一步轉移，地址痕跡有Uniswap V3、Curve、TraderJoe，PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

聲音 | 慢霧：Dapp、交易所等攻擊事件造成損失已近41億美金:慢霧數據顯示Dapp、交易所等攻擊事件造成的損失已達4098587697.68美金，半月增加近3億美金。據2月28日報道，慢霧區上線“被黑檔案庫(SlowMist Hacked)”，目前各類攻擊事件共造成約 3824082630.12 美金的損失。[2019/3/13]

Slope Wallet（Android, >= Version: 2.2.0）是在 2022.06.24 及之后發布的，所以受到影響的是 2022.06.24 以及之后使用 Slope Wallet（Android, >= Version: 2.2.0）的用戶，但是根據部分受害者的反饋并不知道 Slope Wallet，也沒有使用 Slope Wallet。

那么按照 Solana foundation 統計的數據看，30% 左右受害者地址的助記詞可能被 Slope Wallet（Version: >=2.2.0）Sentry 的服務采集發送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服務器上。

但是另外 60% 被盜用戶使用的是 Phantom 錢包，這些受害者是怎樣被盜呢？

在對 Phantom（Version:22.07.11_65）錢包進行分析，發現 Phantom（Android, Version:22.07.11_65）也有使用 Sentry 服務來收集用戶的信息，但并沒有發現明顯的收集助記詞或私鑰的行為。（Phantom Wallet 歷史版本的安全風險慢霧安全團隊還在分析中）

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外 60% 被盜用戶被黑的原因，如果你有任何的思路歡迎一起討論，希望能一起為 Solana 生態略盡綿薄之力。如下是分析過程中的一些疑問點：

1. Sentry 的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題？

2. Phantom 使用了 Sentry，那么 Phantom 錢包會受到影響嗎？

3. 另外 60% 被盜用戶被黑的原因是什么呢？

4. Sentry 作為一個使用非常廣泛的服務，會不會是 Sentry 官方遭遇了入侵？從而導致了定向入侵虛擬貨幣生態的攻擊？

參考信息

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址：

https://dune.com/awesome/solana-hack

Solana foundation 統計的數據：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637（需要申請訪問權限）

Tags：LLEWALLETLETALLshibkiller幣最新消息mathwallet.orgmathwallet錢包下載地址mathwallet錢包app下載

火必下載