慢霧：Solana公鏈大規模盜幣事件分析_SLOPE:LETSGO價格

Solana公鏈上發生大規模盜幣的事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤和分析，從鏈上行為到鏈下的應用逐一排查，目前已有新的進展。

Slope錢包團隊邀請慢霧安全團隊一同分析和跟進，經過持續的跟進和分析，Solanafoundation提供的數據顯示近60%被盜用戶使用Phantom錢包，30%左右地址使用Slope錢包，其余用戶使用TrustWallet等，并且iOS和Android版本的應用都有相應的受害者，于是我們開始聚焦分析錢包應用可能的風險點。

分析過程

慢霧：過去一周Web3因安全事件損失約265萬美元:7月17日消息，慢霧發推稱，2023年7月10日至7月16日期間，Web3發生5起安全事件，總損失為265.5萬美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

在分析SlopeWallet的時候，發現SlopeWallet使用了Sentry的服務，Sentry是一個被廣泛應用的服務，Sentry運行在o7e.slope.finance域名下，在創建錢包的時候會將助記詞和私鑰等敏感數據發送到https://o7e.slope.finance/api/4/envelope/。

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

繼續分析SlopeWallet，我們發現Version:>=2.2.0的包中Sentry服務會將助記詞發送到"o7e.slope.finance"，而Version:2.1.3并沒有發現采集助記詞的行為。

慢霧：利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道，SlowMist發布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻擊，利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日，利用者發起了20提案，并在提案中說明20提案是對16提案的補充，具有相同的執行邏輯。但實際上，提案合約多了一個自毀邏輯，其創建者是通過create2創建的，具有自毀功能，所以在與提案合約自毀后，利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是，社區沒有看到擬議合約中的犯規行為，許多用戶投票支持該提案。

在5月18日，利用者通過創建具有多個交易的新地址，反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性，利用者在5月20日7:18（UTC）銷毀了提案執行合約，并在同一地址部署了一個惡意合約，其邏輯是修改用戶在治理中鎖定的代幣數量。

攻擊者修改完提案合約后，于5月20日7:25（UTC）執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的，因此，該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后，攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡，同時利用者控制了治理。[2023/5/21 15:17:00]

SlopeWallet歷史版本下載：

慢霧：Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息，慢霧監測顯示，Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產，該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移；第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產；第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI，目前有約3970萬美元的加密資產。

目前慢霧經過梳理后，無法將地址3與其他兩個地址連接起來，但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

https://apkpure.com/cn/slope-wallet/com.wd.wallet/versions

SlopeWallet是在2022.06.24及之后發布的，所以受到影響的是2022.06.24以及之后使用SlopeWallet的用戶，但是根據部分受害者的反饋并不知道SlopeWallet，也沒有使用SlopeWallet。

那么按照Solanafoundation統計的數據看，30%左右受害者地址的助記詞可能被SlopeWalletSentry的服務采集發送到了SlopeWallet的https://o7e.slope.finance/api/4/envelope/服務器上。

但是另外60%被盜用戶使用的是Phantom錢包，這些受害者是怎樣被盜呢？

在對Phantom錢包進行分析，發現Phantom也有使用Sentry服務來收集用戶的信息，但并沒有發現明顯的收集助記詞或私鑰的行為。

一些疑問點

慢霧安全團隊還在不斷收集更多信息來分析另外60%被盜用戶被黑的原因，如果你有任何的思路歡迎一起討論，希望能一起為Solana生態略盡綿薄之力。如下是分析過程中的一些疑問點：

1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題？

2.Phantom使用了Sentry，那么Phantom錢包會受到影響嗎？

3.另外60%被盜用戶被黑的原因是什么呢？

4.Sentry作為一個使用非常廣泛的服務，會不會是Sentry官方遭遇了入侵？從而導致了定向入侵虛擬貨幣生態的攻擊？

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

Solanafoundation統計的數據：

https://www.odaily.news/newsflash/294440

https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co

https://docs.google.com/spreadsheets/d/1hej7MnhI2T9IeyXpnESmMcIHwgxGucSGUxQ5FqHB9-8/edit#gid=1372125637

Tags：SLOPEALLLETWALLSLOPE價格Blank WalletLETSGO價格trustwallet下載

Ethereum