USD:慢霧：Solana 公鏈大規模盜幣事件的分析_btc交易平臺usdt

2022 年 8 月 3 日，Solana 公鏈上發生大規模盜幣的事件，大量用戶在不知情的情況下被轉移 SOL 和 SPL 代幣，慢霧安全團隊對此事件進行跟蹤和分析，從鏈上行為到鏈下的應用逐一排查，目前已有新的進展。

Slope 錢包團隊邀請慢霧安全團隊一同分析和跟進，經過持續的跟進和分析，Solana foundation 提供的數據顯示近 60% 被盜用戶使用 Phantom 錢包，30% 左右地址使用 Slope 錢包，其余用戶使用 Trust Wallet 等，并且 iOS 和 Android 版本的應用都有相應的受害者，于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

在分析 Slope Wallet（Android, Version: 2.2.2）的時候，發現 Slope Wallet（Android, Version: 2.2.2）使用了 Sentry 的服務，Sentry 是一個被廣泛應用的服務，Sentry 運行在 o7e.slope.finance 域名下，在創建錢包的時候會將助記詞和私鑰等敏感數據發送到 https://o7e.slope.finance/api/4/envelope/。

慢霧：遠程命令執行漏洞CVE-2023-37582在互聯網上公開，已出現攻擊案例:金色財經報道，據慢霧消息，7.12日Apache RocketMQ發布嚴重安全提醒，披露遠程命令執行漏洞（CVE-2023-37582）目前PoC在互聯網上公開，已出現攻擊案例。Apache RocketMQ是一款開源的分布式消息和流處理平臺，提供高效、可靠、可擴展的低延遲消息和流數據處理能力，廣泛用于異步通信、應用解耦、系統集等場景。加密貨幣行業有大量平臺采用此產品用來處理消息服務，注意風險。漏洞描述：當RocketMQ的NameServer組件暴露在外網時，并且缺乏有效的身份認證機制時，攻擊者可以利用更新配置功能，以RocketMQ運行的系統用戶身份執行命令。[2023/7/14 10:54:22]

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

繼續分析 Slope Wallet，我們發現 Version: >=2.2.0 的包中 Sentry 服務會將助記詞發送到 "o7e.slope.finance"，而 Version: 2.1.3 并沒有發現采集助記詞的行為。

慢霧：針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息，慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認，火幣本著負責任披露信息的策略，對本次事件做以下說明：本次事件是小范圍內（4000人）的用戶聯絡信息泄露，信息種類不涉及敏感信息，不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致，相關用戶信息于2022年10月8日已經完全隔離，日本站與火幣全球站無關。本次事件由白帽團隊發現后，火幣安全團隊2023年6月21日（10天前）已第一時間進行處理，立即關閉相關文件訪問權限，當前漏洞已修復，所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待，切勿傳謠。[2023/7/1 22:12:01]

Slope Wallet 歷史版本下載：

慢霧：yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式給大家分享細節，供大家參考：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH；

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC；

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CruveDAI/USDC/USDT的大部分流動性；

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)貶值；

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣；

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復；

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例體現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

Slope Wallet（Android, >= Version: 2.2.0）是在 2022.06.24 及之后發布的，所以受到影響的是 2022.06.24 以及之后使用 Slope Wallet（Android, >= Version: 2.2.0）的用戶，但是根據部分受害者的反饋并不知道 Slope Wallet，也沒有使用 Slope Wallet。

那么按照 Solana foundation 統計的數據看，30% 左右受害者地址的助記詞可能被 Slope Wallet（Version: >=2.2.0）Sentry 的服務采集發送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服務器上。

但是另外 60% 被盜用戶使用的是 Phantom 錢包，這些受害者是怎樣被盜呢？

在對 Phantom（Version:22.07.11_65）錢包進行分析，發現 Phantom（Android, Version:22.07.11_65）也有使用 Sentry 服務來收集用戶的信息，但并沒有發現明顯的收集助記詞或私鑰的行為。（Phantom Wallet 歷史版本的安全風險慢霧安全團隊還在分析中）

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外 60% 被盜用戶被黑的原因，如果你有任何的思路歡迎一起討論，希望能一起為 Solana 生態略盡綿薄之力。如下是分析過程中的一些疑問點：

1. Sentry 的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題？

2. Phantom 使用了 Sentry，那么 Phantom 錢包會受到影響嗎？

3. 另外 60% 被盜用戶被黑的原因是什么呢？

4. Sentry 作為一個使用非常廣泛的服務，會不會是 Sentry 官方遭遇了入侵？從而導致了定向入侵虛擬貨幣生態的攻擊？

參考信息

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址：

https://dune.com/awesome/solana-hack

Solana foundation 統計的數據：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637（需要申請訪問權限）

Tags：USDDAISLOPESDTPlutusDAOAave DAISLOPE價格btc交易平臺usdt

PEPE幣