2022 年 8 月 3 日,Solana 公链上发生大规模盗币事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币。慢雾安全团队第一时间介入分析,并在 Slope 团队的邀请下对 Slope 钱包应用进行分析,分析表明:Slope 钱包在 2022 年 6 月 24 日及之后发布的版本存在向第三方应用监控服务发送私钥或助记词信息的现象。
但从对 Slope 钱包应用进行调查到现在,无法明确证明此次事件的根源就是 Slope 钱包的问题,于是慢雾安全团队开始对 Slope 的服务器进行分析取证。
事件发生之后各方的关注点主要聚焦在调查本次事件的根源以及资金的追踪和挽救的可能性。于是慢雾安全团队制定相关的计划,开始从链下和链上两个部分着手调查和分析。
在事件根源调查这个方向上,慢雾安全团队重点专注在对 Slope 服务器的分析取证。这里面有大量且复杂的工作需要推进,也需要有更多明确的证据来解释这次的大规模盗币事件的根源。
资金追踪和挽救的可能性这部分工作,慢雾安全团队主要依靠 MistTrack(https://misttrack.io/)的追踪分析能力、标签数据能力并结合情报能力,尽最大的努力识别和追踪黑客的链上行为。并且也和 Slope 团队沟通交流挽救的可能性,Slope 团队也在尝试与黑客沟通希望通过发布漏洞赏金的方式,鼓励黑客归还资产,共同维护 Solana 这个生态的健康发展。
本篇仅向社区用户同步阶段性的调查情况,还有很多的分析工作正在进行,并且不断推进。各方人员不仅是慢雾,还有其他第三方安全团队,以及一些特殊力量也在努力帮忙调查中,希望这次事件最终能够有相对明确的结论。
注:本文所提到的 Sentry 服务指的是 Slope 团队私有化部署的 Sentry 服务,并非使用 Sentry 官方提供的接口和服务。
在同步分析的情况之前,我们先来回答上篇文章的分析过程中的一些疑问点:
1. Sentry 的服务收集用户钱包助记词的行为是否属于普遍的安全问题?
答:Sentry 主要用于收集相关应用服务在运行状态时出现的异常或者错误日志信息,在配置错误的情况下,可能会收集到预期之外的数据,如:私钥或助记词等信息,因此并非普遍存在的安全问题。开发人员在使用第三方应用监控服务切记不能在生成环境中开启 Debug 模式。
2. Phantom 使用了 Sentry,那么 Phantom 钱包会受到影响吗?
答:虽然 Phantom 使用了第三方应用监控服务但是慢雾安全团队通过对 Phantom 钱包历史各版本的监测,并未明显发现 Sentry 上传私钥 / 助记词的行为。
3.
| 欢迎光临 优惠论坛 (https://www.tcelue.ooo/) | Powered by Discuz! X3.1 |