買以太坊 買以太坊
Ctrl+D 買以太坊
ads

LET:慢霧:Solana公鏈大規模盜幣事件分析_itokenwallet

Author:

Time:1900/1/1 0:00:00

背景概述

2022年8月3日,Solana公鏈上發生大規模盜幣的事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤和分析,從鏈上行為到鏈下的應用逐一排查,目前已有新的進展。Slope錢包團隊邀請慢霧安全團隊一同分析和跟進,經過持續的跟進和分析,Solanafoundation提供的數據顯示近60%被盜用戶使用Phantom錢包,30%左右地址使用Slope錢包,其余用戶使用TrustWallet等,并且iOS和Android版本的應用都有相應的受害者,于是我們開始聚焦分析錢包應用可能的風險點。分析過程

慢霧:7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息,慢霧發推稱,自7月3日至7月7日,Web3生態因安全問題遭遇攻擊損失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

在分析SlopeWallet的時候,發現SlopeWallet使用了Sentry的服務,Sentry是一個被廣泛應用的服務,Sentry運行在o7e.slope.finance域名下,在創建錢包的時候會將助記詞和私鑰等敏感數據發送到https://o7e.slope.finance/api/4/envelope/。

慢霧:LendHub疑似被攻擊損失近600萬美金,1100枚ETH已轉移到Tornado Cash:金色財經報道,據慢霧區情報,HECO生態跨鏈借貸平臺LendHub疑似被攻擊,主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后,將部分資金跨鏈到Heco鏈展開攻擊后獲利,后使用多個平臺(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨鏈或兌換被盜資金。截至目前,黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析,慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]

慢霧:跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件,慢霧安全團隊分析指出:本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址,并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

繼續分析SlopeWallet,我們發現Version:>=2.2.0的包中Sentry服務會將助記詞發送到"o7e.slope.finance",而Version:2.1.3并沒有發現采集助記詞的行為。SlopeWallet歷史版本下載:https://apkpure.com/cn/slope-wallet/com.wd.wallet/versionsSlopeWallet是在2022.06.24及之后發布的,所以受到影響的是2022.06.24以及之后使用SlopeWallet的用戶,但是根據部分受害者的反饋并不知道SlopeWallet,也沒有使用SlopeWallet。

慢霧:Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤,Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder,Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒:數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書,請及時確認是否受到影響。如有影響請及時更新證書,以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

那么按照Solanafoundation統計的數據看,30%左右受害者地址的助記詞可能被SlopeWalletSentry的服務采集發送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服務器上。但是另外60%被盜用戶使用的是Phantom錢包,這些受害者是怎樣被盜呢?在對Phantom錢包進行分析,發現Phantom也有使用Sentry服務來收集用戶的信息,但并沒有發現明顯的收集助記詞或私鑰的行為。一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外60%被盜用戶被黑的原因,如果你有任何的思路歡迎一起討論,希望能一起為Solana生態略盡綿薄之力。如下是分析過程中的一些疑問點:1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題?2.Phantom使用了Sentry,那么Phantom錢包會受到影響嗎?3.另外60%被盜用戶被黑的原因是什么呢?4.Sentry作為一個使用非常廣泛的服務,會不會是Sentry官方遭遇了入侵?從而導致了定向入侵虛擬貨幣生態的攻擊?參考信息

已知攻擊者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxVCEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3nGeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy受害者地址:

https://dune.com/awesome/solana-hackSolanafoundation統計的數據:

https://www.odaily.news/newsflash/294440https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.cohttps://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

Tags:LETSLOPELLEALLitokenwalletSlope Financetrustwallet下載錢包官網AllianceBlock Nexera

歐易交易所
GAS:以太坊倫敦升級一周年,EIP-1559帶來了哪些故事?_NFT

2021年,以太坊經歷了兩輪比較重要的硬分叉升級。首先是在區塊高度12,244,000的柏林硬分叉,升級內容包括了對合約的各種優化,涵蓋Gas效率、對以太坊虛擬機讀取代碼方式的更新以及防范DDO.

1900/1/1 0:00:00
以太坊:以太坊的Rollup Race:什么是「真正的」zkEVM?_POL

上周,來自Scroll、MatterLabs和Polygon的三個公告都有一個共同點:每家公司都暗示它將是第一個將zkEVM推向市場的公司.

1900/1/1 0:00:00
AME:CoinMarketCap × Footprint Analytics:2022年GameFi行業報告_Game Engine System

Odaily星球日報經授權首發。 簡介 加密世界在過去十年里經歷了起起伏伏,而GameFi作為新的細分領域,2020年底才開始進入人們的視野.

1900/1/1 0:00:00
AVE:一文詳解Aave原生穩定幣GHO的設計理念_TiraVerse

幾周前,Aave治理論壇上提出了GHO穩定幣的概念,引發了整個DeFi行業的巨大關注。毫無疑問,作為Aave協議的下一步發展規劃,推出這樣一個去中心化、有抵押品支持、且與美元掛鉤的AaveDAO.

1900/1/1 0:00:00
BGO:Goerli測試網合并真的成功了嗎?_以太坊

今日,以太坊完成了合并之前最重要的一個測試之一,加密世界即將迎來一場極為重要的變革。7月27日,以太坊宣布Bellatrix升級為Goerli的信標鏈Prater,為測試網合并做準備.

1900/1/1 0:00:00
NFT:全面解讀sudoswap:團隊、特點和發幣規劃_HAMMER幣

Uniswap在收購NFT聚合市場Genie之后,又宣布將通過sudoswap實現NFT交易,而就在Uniswap官宣該合作關系前的半個月.

1900/1/1 0:00:00
ads