SLOPE:慢雾：Solana公链大规模盗币事件分析

背景概述

2022年8月3日，Solana公链上发生大规模盗币的事件，大量用户在不知情的情况下被转移SOL和SPL代币，慢雾安全团队对此事件进行跟踪和分析，从链上行为到链下的应用逐一排查，目前已有新的进展。Slope钱包团队邀请慢雾安全团队一同分析和跟进，经过持续的跟进和分析，Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包，30%左右地址使用Slope钱包，其余用户使用TrustWallet等，并且iOS和Android版本的应用都有相应的受害者，于是我们开始聚焦分析钱包应用可能的风险点。分析过程

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

在分析SlopeWallet的时候，发现SlopeWallet使用了Sentry的服务，Sentry是一个被广泛应用的服务，Sentry运行在o7e.slope.finance域名下，在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。

慢雾：Furucombo被盗资金发生异动，多次使用1inch进行兑换:据慢雾MistTrack，2月28日攻击Furucombo的黑客地址（0xb624E2...76B212）于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH，并将147ETH从Compound转入到自己的地址，截至目前该黑客地址余额约170万美元，另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]

慢雾：警惕ETH新型假充值，已发现在野ETH假充值攻击:经慢雾安全团队监测，已发现存在ETH假充值对交易所攻击的在野利用，慢雾安全团队决定公开修复方案，请交易所或钱包及时排查ETH入账逻辑，必要时联系慢雾安全团队进行检测，防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作：1、针对合约ETH充值时，需要判断内联交易中是否有revert的交易，如果存在revert的交易，则拒绝入账。2、采用人工入账的方式处理合约入账，确认充值地址到账后才进行人工入账。同时需要注意，类以太坊的公链币种也可能存在类似的风险。[2020/5/23]

继续分析SlopeWallet，我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance"，而Version:2.1.3并没有发现采集助记词的行为。SlopeWallet历史版本下载：https://apkpure.com/cn/slope-wallet/com.wd.wallet/versionsSlopeWallet是在2022.06.24及之后发布的，所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户，但是根据部分受害者的反馈并不知道SlopeWallet，也没有使用SlopeWallet。

动态 | 慢雾：2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测：世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘，通过对其三个传播版本的行为分析，其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚，2019-09-01 0.03011781 枚，且 2019 年仅发生一次，另外一个 2020 还在活跃，2020 开始已经勒索收到 8 笔比特币支付，但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12，总收益比特币 54.43334953 枚。虽然收益很少，但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫，其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞，其成功的全球影响力且匿名性为之后的一系列勒索蠕虫（如 GandCrab）带来了巨大促进。[2020/2/23]

那么按照Solanafoundation统计的数据看，30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。但是另外60%被盗用户使用的是Phantom钱包，这些受害者是怎样被盗呢？在对Phantom钱包进行分析，发现Phantom也有使用Sentry服务来收集用户的信息，但并没有发现明显的收集助记词或私钥的行为。一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因，如果你有任何的思路欢迎一起讨论，希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点：1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题？2.Phantom使用了Sentry，那么Phantom钱包会受到影响吗？3.另外60%被盗用户被黑的原因是什么呢？4.Sentry作为一个使用非常广泛的服务，会不会是Sentry官方遭遇了入侵？从而导致了定向入侵虚拟货币生态的攻击？参考信息

已知攻击者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxVCEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3nGeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy受害者地址：

https://dune.com/awesome/solana-hackSolanafoundation统计的数据：

https://www.odaily.news/newsflash/294440https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.cohttps://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

标签：SLOPELLELETALLSlope FinanceLLE币mathwalletsproGWALLET价格

Gate交易所热门资讯