SLOPE:慢霧：Solana 公鏈大規模盜幣事件的分析

2022年8月3日，Solana公鏈上發生大規模盜幣的事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤和分析，從鏈上行為到鏈下的應用逐一排查，目前已有新的進展。

Slope錢包團隊邀請慢霧安全團隊一同分析和跟進，經過持續的跟進和分析，Solanafoundation提供的數據顯示近60%被盜用戶使用Phantom錢包，30%左右地址使用Slope錢包，其余用戶使用TrustWallet等，并且iOS和Android版本的應用都有相應的受害者，于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

在分析SlopeWallet的時候，發現SlopeWallet使用了Sentry的服務，Sentry是一個被廣泛應用的服務，Sentry運行在o7e.slope.finance域名下，在創建錢包的時候會將助記詞和私鑰等敏感數據發送到https://o7e.slope.finance/api/4/envelope/。

SBF目前被關押在紐約布魯克林大都會拘留中心:金色財經報道，路透社記者Luc Cohen發推文稱，監獄局記錄顯示，FTX前首席執行官Sam Bankman-Fried（SBF）目前被關押在日落公園的??大都會拘留中心。前一日，Lewis Kaplan法官在下令關押SBF時承認，該監獄“不屬于任何人的五星級設施名單”。[2023/8/14 16:24:38]

繼續分析SlopeWallet，我們發現Version:>=2.2.0的包中Sentry服務會將助記詞發送到"o7e.slope.finance"，而Version:2.1.3并沒有發現采集助記詞的行為。

Moonbirds宣布啟動第二批藝術家的Diamond Exhibition NFT投放:金色財經報道，藍籌NFT項目Moonbirds在社交媒體宣布啟動第二批藝術家的Diamond Exhibition NFT投放，涉及12位數字藝術家的10,000件NFT作品，包括 Hideki Tsukamoto、Ippsketch、Andrew Mitchell、Melissa Wiederrecht 等。“Choice Pass”空投將于4月18日進行，隨后是4月24日至4月27日的偏好選擇，Choice Pass 持有者的抽獎和空投將于4月27日進行。[2023/4/15 14:05:44]

SlopeWallet歷史版本下載：

彭博社：年初至今14只表現最好的ETF都與加密貨幣相關:金色財經報道，彭博社匯編的數據顯示，2023 年年初至今，以數字資產為重點的基金主導著 6.8 萬億美元的 ETF 市場，在彭博追蹤的約 2,000 只股票 ETF 中（不包括杠桿產品）排名前 14 位。雖然現在還處于早期階段，但與去年形成了鮮明對比，當時加密相關基金是表現最差的基金之一。

數據顯示， Valkyrie 比特幣礦工 ETF（代碼：WGMI）今年迄今已飆升 67%，VanEck 數字資產礦業 ETF（代碼：DAM）上漲約 56%，VanEck Digital Transformation ETF (代碼：DAPP)、Global X Blockchain ETF (代碼：BKCH) 和Bitwise Crypto Industry Innovators ETF (代碼：BITQ) 漲幅也達到兩位數，這些ETF是年初至今表現最佳的五只交易所交易基金。[2023/1/14 11:11:14]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

日本ANA控股旗下元宇宙子公司ANA NEO與保險公司Sompo合作開發元宇宙保險產品:5月16日消息，日本保險公司Sompo宣布，已與日本ANA控股旗下元宇宙子公司ANA NEO達成合作，以為元宇宙開發保險產品和展示服務。據悉，ANA NEO于2009年成立，運營虛擬旅游平臺“SKY WHALE”，并于今年3月份宣布完成約3380萬美元融資。（Coinpost）[2022/5/16 3:18:17]

SlopeWallet是在2022.06.24及之后發布的，所以受到影響的是2022.06.24以及之后使用SlopeWallet的用戶，但是根據部分受害者的反饋并不知道SlopeWallet，也沒有使用SlopeWallet。

那么按照Solanafoundation統計的數據看，30%左右受害者地址的助記詞可能被SlopeWalletSentry的服務采集發送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服務器上。

但是另外60%被盜用戶使用的是Phantom錢包，這些受害者是怎樣被盜呢？

在對Phantom錢包進行分析，發現Phantom也有使用Sentry服務來收集用戶的信息，但并沒有發現明顯的收集助記詞或私鑰的行為。

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外60%被盜用戶被黑的原因，如果你有任何的思路歡迎一起討論，希望能一起為Solana生態略盡綿薄之力。如下是分析過程中的一些疑問點：

1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題？

2.Phantom使用了Sentry，那么Phantom錢包會受到影響嗎？

3.另外60%被盜用戶被黑的原因是什么呢？

4.Sentry作為一個使用非常廣泛的服務，會不會是Sentry官方遭遇了入侵？從而導致了定向入侵虛擬貨幣生態的攻擊？

參考信息

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址：

https://dune.com/awesome/solana-hack

Solanafoundation統計的數據：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

來源：金色財經

Tags：SLOPELETLLEWALLSLOPE幣LETHTrustwallet官方下載onekeywallet

DYDX