ALL:慢霧：Solana 公鏈大規模盜幣事件的分析_SLOPE

2022年8月3日，Solana公鏈上發生大規模盜幣的事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤和分析，從鏈上行為到鏈下的應用逐一排查，目前已有新的進展。

Slope錢包團隊邀請慢霧安全團隊一同分析和跟進，經過持續的跟進和分析，Solanafoundation提供的數據顯示近60%被盜用戶使用Phantom錢包，30%左右地址使用Slope錢包，其余用戶使用TrustWallet等，并且iOS和Android版本的應用都有相應的受害者，于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

在分析SlopeWallet的時候，發現SlopeWallet使用了Sentry的服務，Sentry是一個被廣泛應用的服務，Sentry運行在o7e.slope.finance域名下，在創建錢包的時候會將助記詞和私鑰等敏感數據發送到https://o7e.slope.finance/api/4/envelope/。

新加坡副總理：淡馬錫已就 FTX 事件啟動內部審查:11月30日消息，新加坡副總理 Lawrence Wong 在該國議會透露，在宣布減記高達 2.75 億美元的 FTX 投資之后，淡馬錫已正式啟動內部審查，本次審查將由一個獨立的團隊完成，旨在研究和改進其流程，并為未來吸取教訓，該團隊將直接向董事會報告，這也是淡馬錫常規審查程序的升級。

Lawrence Wong 坦言，FTX 所發生的事情不僅給淡馬錫造成財務損失，而且還損害了聲譽，淡馬錫認識到這一點，并發布了一份全面的聲明，解釋其盡職調查過程以及導致其投資 FTX 的情況。（channelnewsasia）[2022/11/30 21:11:51]

Azuki推出可支持社區互動的“藏家個人資料”功能:10月15日消息，NFT項目Azuki推出藏家個人資料新功能，旨在打造一個基于Web3原生社區成員資料展示的Azuki元宇宙，用戶可在個人資料頁面設置顯示獲得徽章、展示持有的NFT、參與NFT空投等活動。[2022/10/15 14:28:42]

繼續分析SlopeWallet，我們發現Version:>=2.2.0的包中Sentry服務會將助記詞發送到"o7e.slope.finance"，而Version:2.1.3并沒有發現采集助記詞的行為。

SlopeWallet歷史版本下載：

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

韓國金融監管局擬制定虛擬資產相關會計準則:9月6日消息，韓國金融監管局局長李福賢表示，為消除國際財務報告準則（IFRS）解釋和應用過程中出現的會計處理不確定性，計劃制定虛擬資產、制藥和生物相關會計準則，目前正在對虛擬資產相關會計準則進行討論，當下正在財務報表附注中列出，或將以加強披露的方式進行。此外，李福賢表示，“如果特定企業持有虛擬資產，就允許在注釋中記載或作為其他公示事項進行公示，這是現在的政策方向”。（News1）[2022/9/6 13:11:48]

SlopeWallet是在2022.06.24及之后發布的，所以受到影響的是2022.06.24以及之后使用SlopeWallet的用戶，但是根據部分受害者的反饋并不知道SlopeWallet，也沒有使用SlopeWallet。

公鏈Neo將于8月24日進行Neo-CLIv3.4.0升級:8月19日消息，公鏈Neo發布Neo-CLIv3.4.0升級公告，將于8月24日部署到主網，該版本的改進和優化包括：在原生合約Contract Management中新增一個名為Hash Method的方法、將Neo.Json從Neo移到一個獨立的項目以降低Neo的耦合性、在Token Tracker插件的GetNep17Balances接口中新增對name/symbol/decimals的支持、修復了一些已知問題。Neo表示，v.3.4.0修改了原生合約和虛擬機，所以需要重新同步數據。[2022/8/19 12:36:17]

那么按照Solanafoundation統計的數據看，30%左右受害者地址的助記詞可能被SlopeWalletSentry的服務采集發送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服務器上。

但是另外60%被盜用戶使用的是Phantom錢包，這些受害者是怎樣被盜呢？

在對Phantom錢包進行分析，發現Phantom也有使用Sentry服務來收集用戶的信息，但并沒有發現明顯的收集助記詞或私鑰的行為。

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外60%被盜用戶被黑的原因，如果你有任何的思路歡迎一起討論，希望能一起為Solana生態略盡綿薄之力。如下是分析過程中的一些疑問點：

1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題？

2.Phantom使用了Sentry，那么Phantom錢包會受到影響嗎？

3.另外60%被盜用戶被黑的原因是什么呢？

4.Sentry作為一個使用非常廣泛的服務，會不會是Sentry官方遭遇了入侵？從而導致了定向入侵虛擬貨幣生態的攻擊？

參考信息

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址：

https://dune.com/awesome/solana-hack

Solanafoundation統計的數據：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

來源：金色財經

Tags：SLOPELETLLEALLSLOPE價格trustwallet官網最新版NulleXBITWALLET價格

DAI