LLE:慢雾：Solana公链大规模盗币事件分析_trustwallet钱包地址忘记了

Solana公链上发生大规模盗币的事件，大量用户在不知情的情况下被转移SOL和SPL代币，慢雾安全团队对此事件进行跟踪和分析，从链上行为到链下的应用逐一排查，目前已有新的进展。

Slope钱包团队邀请慢雾安全团队一同分析和跟进，经过持续的跟进和分析，Solanafoundation提供的数据显示近60%被盗用户使用Phantom钱包，30%左右地址使用Slope钱包，其余用户使用TrustWallet等，并且iOS和Android版本的应用都有相应的受害者，于是我们开始聚焦分析钱包应用可能的风险点。

分析过程

Kinetix为Unity游戏和虚拟世界推出Emote Infrastructure:金色财经报道，AI初创公司Kinetix宣布公开发布其开创性的Emote Infrastructure。Kinetix增强了视频游戏和虚拟世界中的情感体验。这项技术使游戏开发商和虚拟世界创作者能够使用Unity通过集成与Windows、iOS和Android平台兼容的Emote SDK来增强用户参与度并开辟新的收入来源。此次发布是继Kinetix在2月份发布的最初公告之后。[2023/5/14 15:01:18]

在分析SlopeWallet的时候，发现SlopeWallet使用了Sentry的服务，Sentry是一个被广泛应用的服务，Sentry运行在o7e.slope.finance域名下，在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.finance/api/4/envelope/。

扎克伯格因押注元宇宙损失近5000亿元:9月20日消息，脸书母公司Meta CEO马克·扎克伯格押注元宇宙的策略，已经让他在现实世界中付出了高昂代价。今年到目前为止，他的财富缩水了一半还多，达到了710亿美元(约合4975亿元人民币)，是彭博亿万富翁指数追踪的超级富豪中损失最多的。

他目前的净资产为559亿美元，在全球亿万富翁中的排名从年初的第第6下滑至第20位。（凤凰网科技）[2022/9/20 7:07:18]

继续分析SlopeWallet，我们发现Version:>=2.2.0的包中Sentry服务会将助记词发送到"o7e.slope.finance"，而Version:2.1.3并没有发现采集助记词的行为。

Tiffany & Co将于8月5日发行NFT，定价30ETH:金色财经报道，美国珠宝品牌蒂芙尼（Tiffany & Co）宣布将于美国东部标准时间2022年8月5日上午10:00发行NFT，NFT名为NFTiff，限量250个，每个定价为30 ETH，约5.1万美元。

此外，蒂芙尼称，正在将NFT提升到一个新的水平。NFTiff 专为 CryptoPunks 持有者提供，可将NFT转变为由Tiffany & Co工匠手工制作的定制吊坠。还将收到一个额外的NFT版本的吊坠。据悉，每个客户最多可以购买3个NFTiff。[2022/8/1 2:50:16]

SlopeWallet历史版本下载：

声音 | 慢雾：使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息，近日，注意到撞库攻击导致用户数字货币被盗的情况，具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测，同时用户在这些中心化服务里并未开启双因素认证。分析认为，被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全，但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系，且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致，这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

SlopeWallet是在2022.06.24及之后发布的，所以受到影响的是2022.06.24以及之后使用SlopeWallet的用户，但是根据部分受害者的反馈并不知道SlopeWallet，也没有使用SlopeWallet。

那么按照Solanafoundation统计的数据看，30%左右受害者地址的助记词可能被SlopeWalletSentry的服务采集发送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服务器上。

但是另外60%被盗用户使用的是Phantom钱包，这些受害者是怎样被盗呢？

在对Phantom钱包进行分析，发现Phantom也有使用Sentry服务来收集用户的信息，但并没有发现明显的收集助记词或私钥的行为。

一些疑问点

慢雾安全团队还在不断收集更多信息来分析另外60%被盗用户被黑的原因，如果你有任何的思路欢迎一起讨论，希望能一起为Solana生态略尽绵薄之力。如下是分析过程中的一些疑问点：

1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题？

2.Phantom使用了Sentry，那么Phantom钱包会受到影响吗？

3.另外60%被盗用户被黑的原因是什么呢？

4.Sentry作为一个使用非常广泛的服务，会不会是Sentry官方遭遇了入侵？从而导致了定向入侵虚拟货币生态的攻击？

已知攻击者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

Solanafoundation统计的数据：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

标签：LLESOLATPSOLAtrustwallet钱包地址忘记了solana币总量https://etherscan.iosolana币下半年

UNI热门资讯