WAL:慢雾：Solana 公链大规模盗币事件的分析

2022 年 8 月 3 日，Solana 公链上发生大规模盗币的事件，大量用户在不知情的情况下被转移 SOL 和 SPL 代币，慢雾安全团队对此事件进行跟踪和分析，从链上行为到链下的应用逐一排查，目前已有新的进展。

Slope 钱包团队邀请慢雾安全团队一同分析和跟进，经过持续的跟进和分析，Solana foundation 提供的数据显示近 60% 被盗用户使用 Phantom 钱包，30% 左右地址使用 Slope 钱包，其余用户使用 Trust Wallet 等，并且 iOS 和 Android 版本的应用都有相应的受害者，于是我们开始聚焦分析钱包应用可能的风险点。

分析过程

在分析 Slope Wallet（Android, Version: 2.2.2）的时候，发现 Slope Wallet（Android, Version: 2.2.2）使用了 Sentry 的服务，Sentry 是一个被广泛应用的服务，Sentry 运行在 o7e.slope.finance 域名下，在创建钱包的时候会将助记词和私钥等敏感数据发送到 https://o7e.slope.finance/api/4/envelope/。

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

慢雾：Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息，Badger DAO遭遇黑客攻击，用户资产在未经授权的情况下被转移。据慢雾MistTrack分析，截止目前黑客已将获利的加密货币换成 renBTC，并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。[2021/12/2 12:46:11]

继续分析 Slope Wallet，我们发现 Version: >=2.2.0 的包中 Sentry 服务会将助记词发送到 "o7e.slope.finance"，而 Version: 2.1.3 并没有发现采集助记词的行为。

Slope Wallet 历史版本下载：

慢雾：Let's Encrypt软件Bug导致3月4日吊销 300 万个证书:Let's Encrypt由于在后端代码中出现了一个错误，Let's Encrypt项目将在撤销超过300万个TLS证书。详情是该错误影响了Boulder，Let's Encrypt项目使用该服务器软件在发行TLS证书之前验证用户及其域。慢雾安全团队提醒：数字货币行业有不少站点或内部系统为安全目的而使用 Let's Encrypt 自签证书，请及时确认是否受到影响。如有影响请及时更新证书，以免造成不可预知的风险。用户可查看原文链接在线验证证书是否受到影响。[2020/3/4]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

声音 | 慢雾：Ghostscript存在多个漏洞:据慢雾区消息，Google Project Zero发布Ghostscript多个漏洞预警，远端攻击者可利用漏洞在目标系统执行任意代码及绕过安全限制。Ghostscript 9.26及更早版本都受影响。软件供应商已提供补丁程序。[2019/1/24]

Slope Wallet（Android, >= Version: 2.2.0）是在 2022.06.24 及之后发布的，所以受到影响的是 2022.06.24 以及之后使用 Slope Wallet（Android, >= Version: 2.2.0）的用户，但是根据部分受害者的反馈并不知道 Slope Wallet，也没有使用 Slope Wallet。

那么按照 Solana foundation 统计的数据看，30% 左右受害者地址的助记词可能被 Slope Wallet（Version: >=2.2.0）Sentry 的服务采集发送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服务器上。

但是另外 60% 被盗用户使用的是 Phantom 钱包，这些受害者是怎样被盗呢？

在对 Phantom（Version:22.07.11_65）钱包进行分析，发现 Phantom（Android, Version:22.07.11_65）也有使用 Sentry 服务来收集用户的信息，但并没有发现明显的收集助记词或私钥的行为。（Phantom Wallet 历史版本的安全风险慢雾安全团队还在分析中）

一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外 60% 被盗用户被黑的原因，如果你有任何的思路欢迎一起讨论，希望能一起为 Solana 生态略尽绵薄之力。如下是分析过程中的一些疑问点：

1. Sentry 的服务收集用户钱包助记词的行为是否属于普遍的安全问题？

2. Phantom 使用了 Sentry，那么 Phantom 钱包会受到影响吗？

3. 另外 60% 被盗用户被黑的原因是什么呢？

4. Sentry 作为一个使用非常广泛的服务，会不会是 Sentry 官方遭遇了入侵？从而导致了定向入侵虚拟货币生态的攻击？

参考信息

已知攻击者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址：

https://dune.com/awesome/solana-hack

Solana foundation 统计的数据：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637（需要申请访问权限）

标签：LETSLOPEWALLLEtrustwallet官网下载最新SLOPE价格trustwallet钱包下载v2.1.2安卓版polkawallet官网

火星币热门资讯