8月3日,成都链家的鹰眼-区块链安全态势感知平台舆情监测显示,索拉纳发生大规模盗币事件。截至发稿时,已有近万个索拉纳钱包地址遭到攻击,被盗的有索尔、SPL、USDC、USDT、BTC、ETH等。价值约600万美元。在昨天的警告中,我们建议索拉纳钱包用户尽快将加密资产转移到CEX或硬件钱包。
被盗钱包数量(数据来源solscan.io)
被盗金额统计
(数据来源solscan.io,截至北京时间8月4日17:40)
可以知道的是,索拉纳正在经历一场大规模的安全事件。事件的全部经过是什么?今天就来一探究竟。
索拉纳身上的钱包被袭击了。一万多钱包是怎么被偷的?8月3日,首先,索拉纳生态NFT市场MagicEden官方宣布,疑似存在一个SOL漏洞,可以窃取Phantom钱包中的资产。
然后,独立安全研究员CIA Officer,现在黑客正在以一种未知的方式从普通用户的钱包中提取$SOL。目前,被盗资金金额超过500万美元。
知名开发者@0xfoobar发推文称,除了Phantom之外,Slope钱包用户也曾报告失窃。
然后,越来越多的用户钱包被入侵,大家发现情况变得严重了!
针对整个事件,索拉纳官方的回应是:“来自多个生态系统的工程师正在多家安全公司的帮助下调查这起大规模钱包失窃事件。目前没有证据显示硬件钱包会受到影响,后续信息会在调查有进展时尽快公布。”
成都联安技术团队第一时间进行了跟踪分析。现在,将这次攻击的分析进度分享如下。
分享一下这次攻击的分析进度。昨天,我们宣布被盗资金已经进入这些钱包地址,每个地址的金额如下:
HTP 9 mgp 8 TIG 923 zfy 7 qf 2 zzbmumynefrahsp 7 vsg 4 wxv
cez n7m qp 9 xox N2 hdyw 6 fjej 73t 7 qax 9 RP 2 zys 6 HB 3 ieu
5 wbygqg 6 bderm 2 nnnyumqxfcunb 68 b 6 kesxbyw h1 j 3n
geeccgj 9 bezvbvor 1 njkbcciqxjbxvedhaxdcrbdbmuy
黑客的四个钱包地址的数量(实时变化)
(数据来源solscan.io,截至北京时间8月4日17:40)
目前,分析进展如下:
第一点:
根据用户反馈,目前受到影响的钱包有Phantom钱包和Slope钱包。
成都安联安全团队分析并找到了Slope wallet使用的哨兵服务。通过抓取钱包,发现该服务会在用户创建钱包时将助记符和私钥等敏感数据发送到Slope的服务器o7e.slope.finance,导致助记符或私钥泄露。
目前官方坡已经发文,正在努力解决这个问题。
通过分析Phantom wallet,逆向代码显示它还包含哨兵库。但通过抓取钱包的分析,暂时没有发现用户在创建钱包时向服务器发送助记符、私钥等敏感数据。
此外,据舆论反映,NEAR的钱包在6月份也被发现存在类似斜坡钱包的问题。当Near wallet用户选择“电子邮件”作为助记符恢复方法时,助记符会泄露给第三方网站。
第二点:
舆论认为,艾娃实验室的工程总监patrickogrady早些时候在推特上写道:“我想知道Solana项目正在使用的一些ed25519签名库中是否存在nonce重用漏洞。我认为这将允许任何看着索拉纳的攻击者获得私钥,不管私钥是在哪里生成的。”针对这一猜测,成都链家安全团队正在持续跟踪研究。
目前,成都联安安保团队正积极配合受害者及钱包团队对事件进行持续跟踪、研究和分析。
用户和项目方在钱包安全方面需要注意什么?这个大规模的钱包被盗案也给了我们很多启示。在Web3.0的生态世界中,我们对钱包安全也有以下建议:
对于用户:
通常,用户可以根据用途将钱包分为两类。第一类用于存储资产,包括一些大额资产等。这类资产可以用冷钱包存放,提高安全性;
第二类用于资产交易,可以使用一些临时钱包。临时钱包包括:用MetaMask之类的钱包重新创建一个地址,里面存的钱很少;或者一些在线钱包,比如一次性钱包等。可以简单设置转账参数,如转账地址、金额等。在网页上生成小额交易的临时二维码。
同时,PC、浏览器等。用户在交易中所使用的不同电脑或浏览器可能会在一些潜在的危险交易中使用。
对于项目方:
钱包端也要注意不要把用户的私钥和助记符上传到服务器。产品上线前,项目方最好找专业的第三方安全公司进行专业的安全审核。
上一次被盗事件发生后,成都联安在第一时间发出预警,建议索拉纳钱包用户尽快将加密资产转移到CEX或硬件钱包,避免损失扩大。与此同时,成都链安团队正在利用链追智能研判平台——虚拟货币案,对被盗资金地址进行监控追踪。
作为致力于区块链安全生态建设的全球领先的区块链安全公司,以及首家将形式化验证技术应用于区块链安全的公司,成联安与国内外头部区块链企业建立了深度合作;已为全球2000多个智能合同、100多个区块链平台和落地应用系统提供安全审计和国防部署服务。自主研发的“链必安”一站式区块链安全服务平台,可为执法监管机构、金融机构、区块链企业提供安全审计、安全防护、安全监管、安全预警、安全咨询等全生命周期安全解决方案。请点击微信官方账号的消息框联系我们。