慢霧：Solana 公鏈大規模盜幣事件的分析_SLOPE

2022年8月3日，Solana公鏈上發生大規模盜幣的事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤和分析，從鏈上行為到鏈下的應用逐一排查，目前已有新的進展。

Slope錢包團隊邀請慢霧安全團隊一同分析和跟進，經過持續的跟進和分析，Solanafoundation提供的數據顯示近60%被盜用戶使用Phantom錢包，30%左右地址使用Slope錢包，其余用戶使用TrustWallet等，并且iOS和Android版本的應用都有相應的受害者，于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

在分析SlopeWallet的時候，發現SlopeWallet使用了Sentry的服務，Sentry是一個被廣泛應用的服務，Sentry運行在o7e.slope.finance域名下，在創建錢包的時候會將助記詞和私鑰等敏感數據發送到https://o7e.slope.finance/api/4/envelope/。

CoinShares：上周數字資產投資產品流出7200萬美元:金色財經報道，CoinShares 表示，隨著投資者從比特幣和以太坊撤資，Solana、Algorand 和 Polygon 上周出現少量資金流入。截至 4 月 28 日的一周，數字資產投資產品流出 7200 萬美元，這是對進一步加息可能性的反應，這也是連續第二周下降。比特幣是市場份額最大的加密貨幣，流出量最多，總計 4600 萬美元。以太坊經歷了自 9 月 The Merge 以來最大的一周資金流出，投資者撤出 1900 萬美元。?[2023/5/3 14:39:13]

知名音樂人Steve Aoki已在OpenSea拋售數百個NFT:1月2日消息，據推特用戶 topo.sol 和 NFT POWER RANKINGS 表示，日裔美國音樂人、 DJ 史蒂夫·青木（Steve Aoki）正在拋售大量所持 NFT。數據顯示，過去 15 天內，Steve Aoki 已在 OpenSea 上架并拋售了數百個 NFT，涉及項目包括 Goblintown、3Landers、Coolman's Universe、Dippies、Creature World、Karafuru、0n1 Force、Alien Frens 和 Cryptomorries 等。但Steve Aoki 并沒有出售其全部藏品，目前仍持有部分藍籌 NFT，包括 BAYC、CryptoPunks、Azuki 和 Clone X。有用戶分析 Steve Aoki 本次拋售可能是為了避稅實現投資損失節稅。?[2023/1/2 22:21:03]

繼續分析SlopeWallet，我們發現Version:>=2.2.0的包中Sentry服務會將助記詞發送到"o7e.slope.finance"，而Version:2.1.3并沒有發現采集助記詞的行為。

中國首家元宇宙新聞與傳播學院在南開大學推出:金色財經報道，中國首家元宇宙新聞與傳播學院今日在南開大學推出，根據南開大學新聞與傳播學院秀山堂現實物理空間虛擬復制的數字空間正式上線。南開大學新聞與傳播學院院長劉亞東表示，通過元宇宙沉浸式教學，有利于學生實時掌握新一代信息傳播技術前沿進展，全面提高新聞傳播技能和本領。劉亞東說，今后將進一步秉承百年南開“允公允能、日新月異”的校訓，聯合南開大學相關院系以及元宇宙領域先進的技術公司共建元宇宙聯合實驗室，通過制作虛擬教授數字人、在虛擬現實空間建設虛擬課堂、在元宇宙空間開設網絡前沿大師課等，逐步充實和加強元宇宙新聞與傳播學院特色。[2022/10/17 17:29:08]

SlopeWallet歷史版本下載：

Cardano：Vasil測試期間發現先前節點版本存在Bug:金色財經報道，根據Cardano區塊鏈背后開發團隊Input Output官方社交媒體披露最新開發周報顯示，該團隊在Vasil測試期間發現先前節點版本存在Bug，目前正在開發即將發布的最新節點版本v1.35.2，旨在改進并修復這些Bug。7月初，Input Output團隊在Cardano測試網上啟動了Vasil硬分叉，旨在推動月末進行Vasil主網升級，此前已在v1.35.1版本中修復了快照重放問題。[2022/7/24 2:34:05]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

SlopeWallet是在2022.06.24及之后發布的，所以受到影響的是2022.06.24以及之后使用SlopeWallet的用戶，但是根據部分受害者的反饋并不知道SlopeWallet，也沒有使用SlopeWallet。

那么按照Solanafoundation統計的數據看，30%左右受害者地址的助記詞可能被SlopeWalletSentry的服務采集發送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服務器上。

但是另外60%被盜用戶使用的是Phantom錢包，這些受害者是怎樣被盜呢？

在對Phantom錢包進行分析，發現Phantom也有使用Sentry服務來收集用戶的信息，但并沒有發現明顯的收集助記詞或私鑰的行為。

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外60%被盜用戶被黑的原因，如果你有任何的思路歡迎一起討論，希望能一起為Solana生態略盡綿薄之力。如下是分析過程中的一些疑問點：

1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題？

2.Phantom使用了Sentry，那么Phantom錢包會受到影響嗎？

3.另外60%被盜用戶被黑的原因是什么呢？

4.Sentry作為一個使用非常廣泛的服務，會不會是Sentry官方遭遇了入侵？從而導致了定向入侵虛擬貨幣生態的攻擊？

參考信息

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址：

https://dune.com/awesome/solana-hack

Solanafoundation統計的數據：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

來源：金色財經

Tags：SLOPEWALALLWALLSLOPE幣WALLET幣PieDAO DEFI Small Captrustwallet錢包

MANA