比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:Solana公鏈大規模盜幣事件分析_WALLET

Author:

Time:1900/1/1 0:00:00

Solana公鏈上發生大規模盜幣的事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤和分析,從鏈上行為到鏈下的應用逐一排查,目前已有新的進展。

Slope錢包團隊邀請慢霧安全團隊一同分析和跟進,經過持續的跟進和分析,Solanafoundation提供的數據顯示近60%被盜用戶使用Phantom錢包,30%左右地址使用Slope錢包,其余用戶使用TrustWallet等,并且iOS和Android版本的應用都有相應的受害者,于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

慢霧:6月24日至28日Web3生態因安全問題損失近1.5億美元:7月3日消息,慢霧發推稱,自6月24日至6月28日,Web3生態因安全問題遭遇攻擊損失149,658,500美元,包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

在分析SlopeWallet的時候,發現SlopeWallet使用了Sentry的服務,Sentry是一個被廣泛應用的服務,Sentry運行在o7e.slope.finance域名下,在創建錢包的時候會將助記詞和私鑰等敏感數據發送到https://o7e.slope.finance/api/4/envelope/。

慢霧:BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息,10月30日攻擊BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗幣過程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺,其中部分 ETH 代幣被兌換成 BTC。此外,黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈,目前,初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

繼續分析SlopeWallet,我們發現Version:>=2.2.0的包中Sentry服務會將助記詞發送到"o7e.slope.finance",而Version:2.1.3并沒有發現采集助記詞的行為。

慢霧:Lendf.Me攻擊者剛歸還了126,014枚PAX:慢霧安全團隊從鏈上數據監測到,Lendf.Me攻擊者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)剛向Lendf.Me平臺admin賬戶(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)轉賬126,014枚PAX,并附言\"Better future\"。隨后Lendf.Me平臺admin賬戶通過memo回復攻擊者并帶上聯系郵箱。此外,Lendf.Me攻擊者錢包地址收到一些受害用戶通過memo求助。[2020/4/20]

SlopeWallet歷史版本下載:

分析 | 慢霧:韓國交易所 Bithumb XRP 錢包也疑似被黑:Twitter 上有消息稱 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盜 20,000,000 枚 XRP(價值 $6,000,000),通過慢霧安全團隊的進一步分析,疑似攻擊者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 時間 03/29/2019?13:46 新建并激活,此后開始持續 50 分鐘的“盜幣”行為。此前慢霧安全團隊第一時間披露 Bithumb EOS 錢包(g4ydomrxhege)疑似被黑,損失 3,132,672 枚 EOS,且攻擊者在持續洗幣。更多細節會繼續披露。[2019/3/30]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

SlopeWallet是在2022.06.24及之后發布的,所以受到影響的是2022.06.24以及之后使用SlopeWallet的用戶,但是根據部分受害者的反饋并不知道SlopeWallet,也沒有使用SlopeWallet。

那么按照Solanafoundation統計的數據看,30%左右受害者地址的助記詞可能被SlopeWalletSentry的服務采集發送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服務器上。

但是另外60%被盜用戶使用的是Phantom錢包,這些受害者是怎樣被盜呢?

在對Phantom錢包進行分析,發現Phantom也有使用Sentry服務來收集用戶的信息,但并沒有發現明顯的收集助記詞或私鑰的行為。

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外60%被盜用戶被黑的原因,如果你有任何的思路歡迎一起討論,希望能一起為Solana生態略盡綿薄之力。如下是分析過程中的一些疑問點:

1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題?

2.Phantom使用了Sentry,那么Phantom錢包會受到影響嗎?

3.另外60%被盜用戶被黑的原因是什么呢?

4.Sentry作為一個使用非常廣泛的服務,會不會是Sentry官方遭遇了入侵?從而導致了定向入侵虛擬貨幣生態的攻擊?

已知攻擊者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

Solanafoundation統計的數據:

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

Tags:SLOPELLEALLWALLETSlope FinancemathwalletsWallfairtrustwallet

火幣交易所
Aglaé Ventures將推出1億歐元的web3基金_PIT

金色財經報道,由LVMH董事長兼首席執行官BernardArnault支持的風險投資公司AglaéVentures將推出一個專門的加密基金。三名知情人士證實了阿格萊的計劃.

1900/1/1 0:00:00
Copy Trading大賽:展示你的技能,分享13萬美金的獎金

你在加密貨幣市場上賺到第一桶金了嗎?你對自己非凡的交易能力感到自信嗎?今天就加入我們的複制交易吧。交易新手不僅可以從你那裡學到一些交易技巧,而且還可以從13萬美金的獎池中獲利!時間.

1900/1/1 0:00:00
Hotcoin關於恢復Terra(LUNA)充提業務的公告_HOTC

尊敬的用戶:LUNA網絡升級已完成,Hotcoin現已恢復LUNA的充值、提現業務。對您造成的不便深表歉意!感謝您對Hotcoin的支持與信任!HotcoinGlobal2022年8月1日Hot.

1900/1/1 0:00:00
Delay in MCG Earn_Huobi

DearValuedUsers,PleasenotethestartofMCGEarnwillbedelayed.Thenewopeningtimewillbesharedinasubseque.

1900/1/1 0:00:00
ETH 創造歷史 期權的關鍵指標超過比特幣 32%_ETH

一段時間以來,以太坊的表現一直優于比特幣。盡管比比特幣年輕5年多,但山寨幣的增長速度如此之快,以至于現在它的市值約為比特幣的一半。這種優異的表現一直持續到牛市,現在甚至進入熊市.

1900/1/1 0:00:00
實盤跟單交易員周報_GATE

尊敬的用戶:為幫助廣泛跟單用戶更好地了解實盤跟單功能,平臺將定期展示每週的交易員數據,數據內容包括交易員平均收益情況以及TOP收益的交易員展示.

1900/1/1 0:00:00
ads