Solana链上钱包遭遇大规模的攻击。
8月3日早间,Solana链上NFT平台Magic Eden公告称,似乎有一个广泛存在的 SOL 漏洞可以耗尽整个生态系统的钱包资产,截至11时有超8000个Solana钱包被盗,资金流向以下4个地址:
地址一:Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV;
地址二:CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu;
地址三:5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n;
地址四:GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy。
慢雾称,目前攻击仍在进行,从交易特征上看,攻击者在没有使用攻击合约的情况下,对账号进行签名转账,初步判断是私钥泄露。不少受害者反馈,他们使用过多种不同的钱包,以移动端钱包为主,因此推测可能问题出现在软件供应链上。在新证据被发现前,慢雾建议用户先将热钱包代币转移到硬件钱包或知名交易所等相对安全的位置,等待事件分析结果。
本文将持续更新本次安全事件的进展:
8月10日04:34分
Solana生态钱包Phantom发推文称:“经过近一周的调查,我们的团队没有发现任何证据表明Phantom的系统在8月2日的安全事件中遭到破坏。我们进行了全面的内部审计,没有发现可以解释此安全事件的漏洞,到目前为止,独立审计Phantom的安全公司Halborn和OtterSec也还没有发现任何可能导致此事件的问题。虽然一些Phantom用户受到影响,但在我们审查的各个情况下,我们发现他们此前将助记词或私钥导入非Phantom钱包。”
8月9日03:18分
Solana官方发布8月2日Slope钱包事件更新:从UTC时间2022年8月2日22:37开始并持续约4小时,一个或多个恶意攻击者盗取了9,231个钱包共计价值约410万美元资产。链上交易显示,受影响钱包的私钥已被泄露,并被用于签署恶意交易。在开发人员、分析公司和安全审计员的调查中,受影响的地址似乎曾在iOS和Android上的Slope钱包应用程序(由Slope Finance创建和发布)中创建、导入或使用。这些Slope用户的私钥资料被Slope应用程序无意中传输到应用程序监控服务,但黑客究竟是如何获取或截获这些信息的仍在调查中。此次攻击没有涉及与Solana Labs、Solana基金会或任何与Solana协议本身相关的核心代码,这不是协议级别的漏洞。
这一漏洞似乎孤立于支持Solana和Ethereum地址的一个钱包提供商,但其他软件钱包(如Phantom和Solflare)上受影响的用户可能是用户重复使用在Slope中生成或存储的助记词的结果。目前认为这不是与Slope以外的任何特定钱包实现直接相关的问题。无论是否使用Slope的硬件钱包没有受到影响,任何从助记词生成的从未被导入(或被Slope钱包使用)的钱包都没有受到影响。然而,用户只要将他们的助记词导入Slope应用程序,就有受攻击的风险。
Solana官方强调,Slope钱包用户或者之前曾将助记词导入Slope的设备,即使没有资产被转移,钱包也可能会被盗用。因此建议在另一个钱包应用程序中生成一个新的助记词,将所有资产(代币和 NFT)转移到这个新钱包,放弃旧地址,因为它可能会受到攻击。用户不应该重复使用以前在Slope移动应用中使用过的助记词衍生的钱包。
8月5日13:37分
Solana被盗事件黑客已将部分被盗资金转移至以太坊和波场
据加密货币追踪平台MistTrack的推文,Solana生态钱包被盗事件黑客已将部分被盗资金转移至以太坊和波场,其中大部分被盗资金(约53000枚USDT和USDC)通过TransitSwap跨链完成转移。TAd4uAHdSVpSjwzfBycmKcQR2UvaW8rVzy地址中的约11,801枚USDT在波场网络被转移至个人钱包,可能是通过场外交易OTC交易。此外,黑客的初始Gas费也来自同一个个人钱包。
8月4日15:38分
Solana生态钱包Slope表示,在发现中心化Sentry服务器引发的漏洞后已删除服务器端日志记录。目前,受影响的9223个钱包中有1444个(15%)可能被追溯到此漏洞。Slope正在与审计合作伙伴和Solana基金会合作,以发现任何潜在的额外攻击媒介,并且已通知相关执法机构,以便对攻击者进行刑事调查。
区块链审计安全团队OtterSec在推特上表示,已确认Slope的移动应用程序通过TLS向中心化的Sentry服务器发送助记词。 然后这些助记词以明文形式存储,这意味着任何有权访问Sentry的人都可以访问用户私钥。OtterSec通过调查UTC时间7月28日至8月4日16:45的Sentry日志,发现存在大约1,400个被漏洞利用的地址,值得注意的是,这并不能解释所有被黑的地址。OtterSec仍在调查这种差异和可能的其他媒介。在Sentry日志中发现了超过5300个私钥,而这些私钥不属于被漏洞利用的私钥。2358个地址中有代币, 建议使用Slope的用户转移资金。
8月4日05:33分
慢雾发布对Solana攻击事件的分析,据Solana基金会提供的数据,被盗用户中约60%使用Phantom、约30%使用Slope,其余使用Trust Wallet、Coin98 Wallet等,IOS和Android均未能幸免。在分析Slope Wallet (Android, Version: 2.2.2) 时,发现其使用了Sentry的服务。Sentry是一项广泛使用的服务,在“o7e.slope[.]finance”上运行。Sentry的服务从Slope钱包中收集助记词和私钥等敏感数据,并在创建钱包时将其发送到https://o7e.slope[.]finance/api/4/envelope/,并发现 Version:>=2.2.0包中的Sentry服务会收集助记词发给“o7e.slope[.]finance”,而Version:2.1.3则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于06/24/2022之后发布,所以Slope该日期之后的用户受到影响。对于另外60%的使用Phantom钱包用户,分析Phantom(版本:22.07.11_65)钱包后发现,Phantom(Android,版本:22.07.11_65)也使用Sentry服务收集用户信息,但目前没有发现任何明显的收集助记词或私钥的行为。
8月4日05:10分
Slope回应:正就钱包攻击事件开展内部调查和审计
针对Solana生态钱包大规模攻击事件,Slope发布公告称,根据目前了解的情况,很多Slope钱包遭到入侵,Slope许多员工和创始人的钱包也被盗了。Slope关于攻击事件起因有一些假设,但尚未确定。Slope正在积极开展内部调查和审计,与顶级外部安全和审计团队合作;正与整个生态系统中的开发人员、安全专家和协议合作,努力识别和纠正这些问题。Slope建议所有用户采取以下措施:创建一个新的、独立的种子短语钱包,并将所有资产转移到新钱包。同样,不建议在新钱包上使用与Slope上相同的种子短语。硬件钱包仍然是安全的。Slope的公告没有说明是否可能与私钥存储问题有关。此外,据CoinDesk报道,一位Slope代表表示:“我们不会在集中式服务器上存储任何个人数据。”(该代表后来承认这是一个错误的陈述。)
8月4日04:05分
Solana Status在推特上发布攻击事件调查进展:“经过开发人员、生态团队和安全审计人员的调查,受影响的地址似乎曾经在Slope钱包应用中创建、导入钱包地址或曾经使用过该应用。此漏洞被隔离到Solana上的一个钱包,Slope使用的硬件钱包仍然安全。目前具体细节仍在调查中,但得知私钥信息被无意间传输到了应用监控程序中。没有证据表明Solana协议或其加密学遭到破坏。
8月3日21:13分
Solana Status刚刚发推称,漏洞利用似乎不是 Solana 核心代码的错误,而是在网络用户中流行的几个钱包软件的问题。来自多个生态系统的工程师与审计和安全公司正在合作,继续调查导致大约8000个钱包被耗尽的事件的根本原因。
8月3日14:51分
Solana Status发推表示,如果用户的某Solana钱包遭受攻击,是受影响的7767人之一,可填写对应表格以确认问题,目前需要每个人的相关信息帮助才能弄清楚此次Solana攻击事件发生了什么。
8月3日14:37分
Solana生态Move to Earn应用Walken发推称:“由于Solana发生的安全事件和正在进行的调查,目前无法与该区块链交互,这导致了加载失败和Walken应用程序出现错误,该应用程序将因维护而不可用,恢复时间未知。Walken团队正在密切关注这一情况。”
8月3日13:09分
Solana Status发布攻击事件更新,称一个漏洞允许恶意行为者从Solana的多个钱包中盗取资金。截至今日13:00,大约有7767个钱包受到影响。该漏洞利用影响了多个钱包,包括Slope和Phantom,移动钱包和插件钱包都受到影响。工程师目前正在与多个安全研究人员和生态系统团队合作,以确定漏洞利用的根本原因,目前尚不清楚。没有证据表明硬件钱包受到影响,强烈建议用户使用硬件钱包,并且不要在硬件钱包上重复使用助记词,创建一个新的助记词。被盗取的钱包应被视为已损坏并丢弃。
8月3日11:57分
Solana验证节点Laine发推文称:“Solana多个RPC节点似乎已停止服务请求,可能是因过载或故意造成的。这不会以任何方式影响底层链,Solana区块链正常运行。用户的钱包或浏览器可能现在没有加载,但区块链是正常运行。”Laine提醒道,这与授权无关,撤销访问权限无济于事,需将资金从热钱包转移到硬件钱包或CEX,SOL和ETH均受到了影响。
8月3日10:39分
Solana Status官方发推文表示,来自多个生态系统的工程师正在几家安全公司的帮助下调查本次大规模钱包被盗事件,目前没有证据表明硬件钱包会受到影响,调查获得进展将尽快公布后续信息。
8月3日10:32分
Alavanche创始人Emin Gün Sirer发推称:“目前针对Solana生态系统的持续攻击仍在进行中,希望官方能快速澄清很多错误信息和猜测并恢复。此类攻击不仅会影响直接目标系统,还会通过侵蚀人们对行业的信心而间接影响行业中的每个人。”
Emin Gün Sirer对此次事件分析称:“因为交易的签名是正确的,所以攻击者很可能已经获得了对私钥的访问权。一种可能的途径是供应链攻击,其中JS库被黑客入侵,并泄露(窃取)用户的私钥。受影响的钱包似乎是在过去约 9个月内创建的,但有报道称新创建的钱包也受到影响。IOTA受到这种攻击的影响,并且从未完全恢复。如果同一把钥匙在两个不同的人手中,则很难确定谁是合法所有者。停止区块链无济于事,当区块链恢复时攻击将恢复。”此外,Emin Gün Sirer也不认为攻击的原因是由于随机数生成器漏洞或零时差漏洞,他对Ava Labs的工程主管Patrick的观点表示赞同,即“一种潜在的随机数重用,最终会泄露私钥”。Emin Gün Sirer补充道:“这不是EVM风格的随机数,而是用于制作ecdsa签名的ps和qs。在所有情况下,硬件钱包和CEX(中心化交易所)似乎都没有受到影响,因此在这些系统上持有SOL资产的人应该没问题。”Ava Labs的工程主管Patrick在推特上写道:“我想知道Solana项目正在使用的某些 ed25519签名库中是否存在nonce重用漏洞。我认为这将允许任何查看Solana的攻击者获得私钥,而不管私钥是在哪里生成的。 ”
8月3日10:25分
派盾预警发推文称,似乎在Solana钱包遭攻击之前,有用户的TrustWallet和Slope钱包在Solana和以太坊上都发生了资金被盗,约8万美元资产(包括7 ETH 、42000USDC、12000USDT 、6PAXG等)进入攻击者的以太坊地址。
8月3日8:50分
Solana审计公司OtterSec在推特上表示,在过去的几个小时内,已经有超过5000个Solana钱包被耗尽,这证实了推特上许多人声称他们的余额已经消失的报道。OtterSec的分析显示,这些交易是由所有者签署的,该公司表示这表明存在私钥泄露。该漏洞利用还可能影响ETH用户,但目前该现象并不普遍。 另据报道,超过6个月不活跃的钱包似乎受到的打击最大。
8月3日8:33分
Move to Earn应用STEPN官方发推文称,整个Solana生态系统似乎遭到了大规模的黑客攻击,因此提醒用户若将非托管钱包从外部导入/导出STEPN,需要检查那些钱包是否有任何资产丢失,从该钱包转移资产,或从STEPN应用程序中生成一个新的非托管钱包。
8月3日8:32分
Solana生态钱包Phantom发公告称,我们正在与其他团队密切合作,以查明Solana生态系统中报告的漏洞。目前,团队不认为这是Phantom特有的问题。一旦我们收集到更多信息,我们将发布更新。
8月3日8:16分
Decaf开发者@JuanRdBO在推特上回应此前Magic Eden发布的SOL漏洞称,这不是受信任应用的问题。如果用户曾与DeJBGdMFa1uynnnKiwrVioatTuHmNLpyFKnmB5kaFdzQ进行过交互(Phantom在创建钱包时与之交互),钱包就会遭受入侵。
8月3日8:08分
Solana生态NFT市场Magic Eden发布警告称,似乎有一个广泛存在的SOL漏洞可以耗尽整个生态系统的钱包资产。Magic Eden提醒用户进行以下设置保护个人资产:1. 进入Phantom钱包设置页面;2. 点击受信任的应用(Trusted Apps);3. 撤销任何可疑链接的权限。