WALL:慢雾：Solana 公链大规模盗币事件的分析_blockchain.infowallet恢复

2022 年 8 月 3 日，Solana 公链上发生大规模盗币的事件，大量用户在不知情的情况下被转移 SOL 和 SPL 代币，慢雾安全团队对此事件进行跟踪和分析，从链上行为到链下的应用逐一排查，目前已有新的进展。

Slope 钱包团队邀请慢雾安全团队一同分析和跟进，经过持续的跟进和分析，Solana foundation 提供的数据显示近 60% 被盗用户使用 Phantom 钱包，30% 左右地址使用 Slope 钱包，其余用户使用 Trust Wallet 等，并且 iOS 和 Android 版本的应用都有相应的受害者，于是我们开始聚焦分析钱包应用可能的风险点。

分析过程

在分析 Slope Wallet（Android, Version: 2.2.2）的时候，发现 Slope Wallet（Android, Version: 2.2.2）使用了 Sentry 的服务，Sentry 是一个被广泛应用的服务，Sentry 运行在 o7e.slope.finance 域名下，在创建钱包的时候会将助记词和私钥等敏感数据发送到 https://o7e.slope.finance/api/4/envelope/。

慢雾：近期出现新的流行恶意盗币软件Mystic Stealer，可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息，慢雾首席信息安全官@IM_23pds在社交媒体上发文表示，近期已出现新的加密货币盗窃软件Mystic Stealer，该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包，是目前最流行的恶意软件，请用户注意风险。[2023/6/20 21:49:05]

继续分析 Slope Wallet，我们发现 Version: >=2.2.0 的包中 Sentry 服务会将助记词发送到 "o7e.slope.finance"，而 Version: 2.1.3 并没有发现采集助记词的行为。

慢雾：AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报，近期 AToken 钱包(atoken.com)疑似遭受到攻击，用户在使用 AToken 钱包后，币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了，但是并没有得到 AToken 团队的回复和处理。

如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作：

1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。

2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。

3. 参考慢雾安全团队梳理的数字资产安全解决方案，对数字资产进行妥善的管理。

4. 留存相应有问题的 AToken 钱包 APP 的安装包，用于后续可能需要的取证等操作。

5. 如果资产已经被盗，可以先梳理被盗事件的时间线，以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]

Slope Wallet 历史版本下载：

慢雾：有用户遭钓鱼攻击，在OpenSea上架的NFT以极低匹配价格售出:据慢雾消息，有用户在 OpenSea 挂单售卖的 NFT 被恶意的以远低于挂单价匹配买。经慢雾安全团队分析，此是由于该受害用户遭受钓鱼攻击，错误的对攻击者精心构造的恶意订单进行签名，恶意订单中指定了极低的出售价格、买方地址为攻击者以及出售 NFT 为受害用户在 OpenSea 上架的待出售 NFT。攻击者使用受害用户已签名的出售订单以及攻击者自己的购买订单在 OpenSea 中进行匹配，并以攻击者指定的极低价格成交，导致受害用户的 NFT 以非预期的价格售出。[2021/12/11 7:31:47]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

声音 | 慢雾：采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破，该攻击团伙（floatingsnow等）的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前，慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见，强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]

Slope Wallet（Android, >= Version: 2.2.0）是在 2022.06.24 及之后发布的，所以受到影响的是 2022.06.24 以及之后使用 Slope Wallet（Android, >= Version: 2.2.0）的用户，但是根据部分受害者的反馈并不知道 Slope Wallet，也没有使用 Slope Wallet。

那么按照 Solana foundation 统计的数据看，30% 左右受害者地址的助记词可能被 Slope Wallet（Version: >=2.2.0）Sentry 的服务采集发送到了 Slope Wallet 的 https://o7e.slope.finance/api/4/envelope/ 服务器上。

但是另外 60% 被盗用户使用的是 Phantom 钱包，这些受害者是怎样被盗呢？

在对 Phantom（Version:22.07.11_65）钱包进行分析，发现 Phantom（Android, Version:22.07.11_65）也有使用 Sentry 服务来收集用户的信息，但并没有发现明显的收集助记词或私钥的行为。（Phantom Wallet 历史版本的安全风险慢雾安全团队还在分析中）

一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外 60% 被盗用户被黑的原因，如果你有任何的思路欢迎一起讨论，希望能一起为 Solana 生态略尽绵薄之力。如下是分析过程中的一些疑问点：

1. Sentry 的服务收集用户钱包助记词的行为是否属于普遍的安全问题？

2. Phantom 使用了 Sentry，那么 Phantom 钱包会受到影响吗？

3. 另外 60% 被盗用户被黑的原因是什么呢？

4. Sentry 作为一个使用非常广泛的服务，会不会是 Sentry 官方遭遇了入侵？从而导致了定向入侵虚拟货币生态的攻击？

参考信息

已知攻击者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

受害者地址：

https://dune.com/awesome/solana-hack

Solana foundation 统计的数据：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637（需要申请访问权限）

标签：WALLLETALLWALtrustwallet钱包提币提不出mathwallet麦子钱包AllianceBlockblockchain.infowallet恢复

比特币交易热门资讯