背景概述
2022年8月3日,Solana公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪和分析,从链上行为到链下的应用逐一排查,目前已有新的进展。Slope钱包团队邀请慢雾安全团队一同分析和跟进,经过持续的跟进和分析,Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者,于是我们开始聚焦分析钱包应用可能的风险点。分析过程
慢雾:远程命令执行漏洞CVE-2023-37582在互联网上公开,已出现攻击案例:金色财经报道,据慢雾消息,7.12日Apache RocketMQ发布严重安全提醒,披露远程命令执行漏洞(CVE-2023-37582)目前PoC在互联网上公开,已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台,提供高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务,注意风险。漏洞描述:当RocketMQ的NameServer组件暴露在外网时,并且缺乏有效的身份认证机制时,攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]
在分析SlopeWallet的时候,发现SlopeWallet使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.finance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。
慢雾:Furucombo被盗资金发生异动,多次使用1inch进行兑换:据慢雾MistTrack,2月28日攻击Furucombo的黑客地址(0xb624E2...76B212)于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH,并将147ETH从Compound转入到自己的地址,截至目前该黑客地址余额约170万美元,另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]
慢雾:警惕ETH新型假充值,已发现在野ETH假充值攻击:经慢雾安全团队监测,已发现存在ETH假充值对交易所攻击的在野利用,慢雾安全团队决定公开修复方案,请交易所或钱包及时排查ETH入账逻辑,必要时联系慢雾安全团队进行检测,防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作:1、针对合约ETH充值时,需要判断内联交易中是否有revert的交易,如果存在revert的交易,则拒绝入账。2、采用人工入账的方式处理合约入账,确认充值地址到账后才进行人工入账。同时需要注意,类以太坊的公链币种也可能存在类似的风险。[2020/5/23]
继续分析SlopeWallet,我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance",而Version:2.1.3并没有发现采集助记词的行为。SlopeWallet历史版本下载:https://apkpure.com/cn/slope-wallet/com.wd.wallet/versionsSlopeWallet是在2022.06.24及之后发布的,所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户,但是根据部分受害者的反馈并不知道SlopeWallet,也没有使用SlopeWallet。
动态 | 慢雾:2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测:世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘,通过对其三个传播版本的行为分析,其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年仅发生一次,另外一个 2020 还在活跃,2020 开始已经勒索收到 8 笔比特币支付,但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12,总收益比特币 54.43334953 枚。虽然收益很少,但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫,其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞,其成功的全球影响力且匿名性为之后的一系列勒索蠕虫(如 GandCrab)带来了巨大促进。[2020/2/23]
那么按照Solanafoundation统计的数据看,30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。但是另外60%被盗用户使用的是Phantom钱包,这些受害者是怎样被盗呢?在对Phantom钱包进行分析,发现Phantom也有使用Sentry服务来收集用户的信息,但并没有发现明显的收集助记词或私钥的行为。一些疑问点
慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点:1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?3.另外60%被盗用户被黑的原因是什么呢?4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?参考信息
已知攻击者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxVCEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3nGeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy受害者地址:
https://dune.com/awesome/solana-hackSolanafoundation统计的数据:
https://www.odaily.news/newsflash/294440https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.cohttps://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637
原文作者:HarithKamarul原文编译:ChinaDeFi去年年初,我们写了20张“NumbaGoUp”的图表,强调了2021年1月的高回报率。事实证明,这是一轮大牛市的开始.
1900/1/1 0:00:002022年8月8日,美国财政部的海外资产控制办公室的官网显示,将部分与TornadoCash协议或与之相关的以太坊地址进行交互的地址,放入SDNList(美国特别制定国民名单).
1900/1/1 0:00:00ETH价格的暴涨似乎是由GammaSqueeze引起,但从现有数据来看,当前价格的上涨仍然缺乏足够支撑.
1900/1/1 0:00:00最近的熊市给各种项目的代币经济学带来了更加严格审查。叙事在很大程度上已经从追求在牛市期间创造奇迹的自反性机制转向可持续的利润,这反而使项目能够经受散户兴趣减弱的时期.
1900/1/1 0:00:00作者:Maco修订:Evelyn 一、基本信息1.Avalanche架构和技术Avalanche以三链架构为特点,分别为交易链、合约链、平台链,下图给出了比较清晰的分工.
1900/1/1 0:00:00AAVE近期推出了稳定币GHO并在路线中提到了信用评分体系,这让链上信贷再次回归到人们的视线之中:在很早之前就被提及的无抵押信用贷款将要普及了吗?并非如此.
1900/1/1 0:00:00