Solana公鏈上發生大規模盜幣的事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤和分析,從鏈上行為到鏈下的應用逐一排查,目前已有新的進展。
Slope錢包團隊邀請慢霧安全團隊一同分析和跟進,經過持續的跟進和分析,Solanafoundation提供的數據顯示近60%被盜用戶使用Phantom錢包,30%左右地址使用Slope錢包,其余用戶使用TrustWallet等,并且iOS和Android版本的應用都有相應的受害者,于是我們開始聚焦分析錢包應用可能的風險點。
分析過程
慢霧:警惕Web3錢包WalletConnect釣魚風險:金色財經報道,慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。
慢霧發現,部分 Web3 錢包在提供 WalletConnect 支持的時候,沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。[2023/4/17 14:08:53]
在分析SlopeWallet的時候,發現SlopeWallet使用了Sentry的服務,Sentry是一個被廣泛應用的服務,Sentry運行在o7e.slope.finance域名下,在創建錢包的時候會將助記詞和私鑰等敏感數據發送到https://o7e.slope.finance/api/4/envelope/。
慢霧:Gate官方Twitter賬戶被盜用,謹慎互動:10月22日消息,安全團隊慢霧發文稱:加密平臺Gate官方Twitter賬戶被盜用,謹慎互動。半小時前,攻擊者利用該賬戶發文,誘導用戶進入虛假網站連接錢包。此外,慢霧科技創始人余弦在社交媒體上發文表示:注意下,Gate官方推特應該是被黑了,發送了釣魚信息,這個網址 g?te[.]com 是假的(之前談過的 Punycode 字符有關的釣魚域名),如果你去Claim會出現eth_sign這種簽名釣魚,可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]
繼續分析SlopeWallet,我們發現Version:>=2.2.0的包中Sentry服務會將助記詞發送到"o7e.slope.finance",而Version:2.1.3并沒有發現采集助記詞的行為。
慢霧:AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報,近期 AToken 錢包(atoken.com)疑似遭受到攻擊,用戶在使用 AToken 錢包后,幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了,但是并沒有得到 AToken 團隊的回復和處理。
如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作:
1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。
2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。
3. 參考慢霧安全團隊梳理的數字資產安全解決方案,對數字資產進行妥善的管理。
4. 留存相應有問題的 AToken 錢包 APP 的安裝包,用于后續可能需要的取證等操作。
5. 如果資產已經被盜,可以先梳理被盜事件的時間線,以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]
SlopeWallet歷史版本下載:
聲音 | 慢霧:ETDP錢包連續轉移近2000 ETH到Bitstamp交易所,項目方疑似跑路:據慢霧科技反洗錢(AML)系統監測顯示,自北京時間 12 月 16 日凌晨 2 點開始,ETDP 項目方錢包(地址 0xE1d9C35F…19Dc1C3)連續轉移近 2000 ETH 到 Bitstamp 交易所,另有 3800 ETH 分散在 3 個新地址中,未發生進一步動作。慢霧安全團隊在此提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2019/12/16]
https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions
SlopeWallet是在2022.06.24及之后發布的,所以受到影響的是2022.06.24以及之后使用SlopeWallet的用戶,但是根據部分受害者的反饋并不知道SlopeWallet,也沒有使用SlopeWallet。
那么按照Solanafoundation統計的數據看,30%左右受害者地址的助記詞可能被SlopeWalletSentry的服務采集發送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服務器上。
但是另外60%被盜用戶使用的是Phantom錢包,這些受害者是怎樣被盜呢?
在對Phantom錢包進行分析,發現Phantom也有使用Sentry服務來收集用戶的信息,但并沒有發現明顯的收集助記詞或私鑰的行為。
一些疑問點
慢霧安全團隊還在不斷收集更多信息來分析另外60%被盜用戶被黑的原因,如果你有任何的思路歡迎一起討論,希望能一起為Solana生態略盡綿薄之力。如下是分析過程中的一些疑問點:
1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題?
2.Phantom使用了Sentry,那么Phantom錢包會受到影響嗎?
3.另外60%被盜用戶被黑的原因是什么呢?
4.Sentry作為一個使用非常廣泛的服務,會不會是Sentry官方遭遇了入侵?從而導致了定向入侵虛擬貨幣生態的攻擊?
已知攻擊者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
Solanafoundation統計的數據:
https://www.odaily.news/newsflash/294440
https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co
https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637
Tags:WALLETALLLETWALmathwalletspromathwallet錢包提不了幣PlethoriWALL價格
據官方消息,8月3日,波場聯合儲備正式推出穩定幣兌換工具PSM。用戶可通過PSM在USDD與USDT之間進行1:1固定匯率的互換.
1900/1/1 0:00:00Wearelookingforagroupofpeoplewhoarepassionateaboutcryptocurrenciesandhavetheirownmediumorpersonal.
1900/1/1 0:00:00尊敬的虎符用戶: 對于您的提現延遲我們深表歉意。2022年8月1日13:00我們將正式開啟以下幣種的提現審核,針對以下幣種發起提現的用戶將會在開啟審核后收到提現幣種.
1900/1/1 0:00:00針對Solana生態錢包大規模攻擊事件,Slope發布公告稱,根據目前了解的情況,很多Slope錢包遭到入侵,Slope許多員工和創始人的錢包也被盜了.
1900/1/1 0:00:0021:00-7:00關鍵詞:Messari、馬斯克、9月加息、高盛1.Messari:以太坊合并引發的ETC價格反彈不會持續;2.
1900/1/1 0:00:00作者|秦曉峰 編輯|郝方舟 出品|Odaily星球日報??? 一、整體概述 以太坊的第十個影子分叉于昨天生效,比預期早了26小時,此時最終總難度(TTD)在區塊高度15217902被覆蓋為54.
1900/1/1 0:00:00