【動態關注】一場撲朔迷離的 Solana 安全事故
從被曝出現大規模錢包被盜至今已持續近3天,Solana網絡安全事故仍在進行中……整理:念青,鏈捕手
北京時間8月3日凌晨,Solana被爆出現大規模安全事故,截止發稿前,已有9000餘個錢包受到影響,目前黑客身份不明,漏洞定位不清,Solana上錢包還在不斷被侵害中。可以說,此次Solana被盜案是目前加密行業受影響範圍最大的安全事故,在行業內多位知名開發者和工程師共同參與的情況下,還遲遲未調查出被盜原因,可以稱得上撲朔迷離。鏈捕手再次提醒各位用戶注意資金安全。
本文將按時間倒序更新關於Solana的最新動態,請持續關注。
一、實時數據鏈接:
1、被盜錢包地址數:9224
2、被盜金額:$5,927,974
3、黑客錢包地址:
https://solscan.io/account/Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV
https://solscan.io/account/CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu
https://solscan.io/account/GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
https://solscan.io/account/5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n
4、Solscan 關於 Solana 漏洞的相關數據彙總:
https://beta-analysis.solscan.io/public/dashboard/ffaf8155-1d6f-4ec7-96db-2e8e8bc5c160#theme=night
二、最新動態
8月4日
15:58
Solana錢包 Slope 在推特上表示,Slope 據 OtterSec 發現的漏洞,已將伺服器端日誌記錄刪除,表示目前受影響的9223個錢包中的約15%個錢包(1444)資產被盜。並提醒用戶更換新的助記詞。(來源鏈接)
15:05
Solana 審計公司 OtterSec 在推特上表示,已經獨立確認 Slope 的移動應用程序通過 TLS 將助記符發送到其集中式 Sentry 伺服器。然後這些助記符以明文形式存儲,這意味著任何有權訪問 Sentry 的人都可以訪問用戶私鑰。Sentry 日誌中存在大約 1,400 個漏洞利用地址。值得注意的是,這並不能說明所有被黑地址。我們仍在調查這種差異和可能的其他媒介。(來源鏈接)
10:14
慢霧今日發布對 Solana 攻擊事件的分析中指出,初步篩查出 30% 用戶被盜原因為 Slope Wallet (Android, Version: 2.2.2) 的 sentry 服務存在私鑰洩露。60% 被盜用戶使用的是 Phantom 錢包,其被盜原因暫未查明。慢霧表示,如果你有任何的思路歡迎一起討論,希望能一起為 Solana 生態略盡綿薄之力。以下是具體疑問點:
Sentry 的服務收集用戶錢包助記詞的行為是否屬於普遍的安全問題?
Phantom 使用了 Sentry,那麼 Phantom 錢包會受到影響嗎?
另外 60% 被盜用戶被黑的原因是什麼呢?
Sentry 作為一個使用非常廣泛的服務,會不會是 Sentry 官方遭遇了入侵?從而導致了定向入侵虛擬貨幣生態的攻擊?(來源鏈接)
4:05
Solana Status 在 Twitter 上表示,經過開發人員、生態團隊和安全審計人員的調查,受影響的地址似乎曾經在 Slope 錢包應用中創建、導入錢包地址或曾經使用過該應用。Solana Status 表示,目前具體細節仍在調查中,可能是由於私鑰信息被無意間傳輸到了應用監控程序中。Slope 證實了在本事件中有一些 Slope 錢包被攻擊,但未確定具體原因。(來源鏈接)
3:52
Solana 生態錢包 Phantom 發推特稱,"此次 Solana 攻擊事件漏洞,有理由相信是因為與 slope 交互中,導入導出賬戶的複雜性所導致的",建議 Phantom 用戶安裝了除 Slope之外的新錢包並創建新的助記詞。(來源鏈接)
8月3日
16:24
Solana Labs 聯合創始人@aeyakovenko發推特表示,據分析此次攻擊事件似乎是 iOS 供應鏈受到了攻擊,其中多個只收到 SOL 且沒有其他交互的可信錢包受到了影響,它們曾將外部生成的私鑰導入 iOS。同時他表示只是所有已確認的信息都是 iOS 設備,"但可能也是因為它的歡迎程度"。(來源鏈接)
14:51
Solana Status 正收集被攻擊用戶信息以確認根本原因,如果你的錢包被盜,可通過此鏈接填寫:https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co。
12:19
軟件及區塊鏈公司 Laine 發推特稱,目前 RPC 節點正在恢復服務,驗證器正常運行,稱之前 RPC 節點暫停服務是為了減緩減慢攻擊者的速度。
Laine曾發推文稱:" Solana多個 RPC 節點似乎已停止服務請求,可能是因過載或故意造成的。這不會以任何方式影響底層鏈,Solana 區塊鏈正常運行。用戶的錢包或瀏覽器可能現在沒有加載,但區塊鏈是正常運行。"(來源鏈接)
11:57
軟件及區塊鏈公司 Laine 推特表示,Solana多個 RPC 節點似乎已停止服務請求,可能是因過載或故意造成的。這不會以任何方式影響底層鏈,Solana 區塊鏈正常運行。用戶的錢包或瀏覽器可能現在沒有加載,但區塊鏈是正常運行。(來源鏈接)
與此同時,很多用戶表示 Solana 區塊瀏覽器 Solscan、SolanaFM等無法正常使用。
10:39
Solana Status 在社交媒體上發文表示,漏洞允許惡意行為者從多個 Solana 錢包中盜取資金。截至世界標準時間凌晨 5 時(北京時間 13 時),大約有 7767 個錢包受到影響。該漏洞利用影響了多個錢包,包括 Slope 和 Phantom,移動錢包和插件錢包似乎都受到影響。
目前尚不清楚漏洞利用的根本原因,但工程師已與多個安全研究和生態系統團隊展開合作。目前沒有證據表明硬體錢包受到影響,強烈建議用戶使用硬體錢包,並且不要在硬體錢包上重複使用助記詞,創建一個新的助記詞,被盜取的錢包應被視為已損壞並丟棄。(來源鏈接)
10:32
Avalanche Gün 教授 Emin Gün Sirer 在個人社交媒體平台發文表示,目前在針對 Solana 生態系統的持續攻擊中,已經有 7000 多個錢包受到影響,並且正在以 20 個/min 的速度增長。他表示,現在還很早期,而且攻擊仍在進行中,所以有很多錯誤信息和猜測。
由於交易簽名正確,攻擊者很可能已經獲得對私鑰的訪問權限。一種可能的途徑是"供應鏈攻擊",其中 JS 庫被黑客入侵,並洩露(竊取)用戶的私鑰。受影響的錢包似乎是在過去 9 個月內創建的,但也有報告說新創建的錢包也受到影響。但目前停止 Solana 網絡是沒有效果的,當網絡恢復時攻擊將恢復。(來源鏈接)
9:00左右
開發者 @0xfoobar 在推特表示,超過 6 個月不活躍的錢包受到的打擊最大,Phantom 和 Slope 錢包都出現了資金盜取。漏洞利用原因未知,可能是上游依賴供應鏈攻擊,撤銷批准可能無濟於事,解決方案是將資產轉移到從未將私鑰暴露給潛在易受攻擊的瀏覽器擴展的錢包中,即硬體錢包。(來源鏈接)
8:50
Solana 審計公司 OtterSec 在推特上表示,過去幾個小時內有超過 5000 個 Solana 錢包資金被盜取,OtterSec 分析顯示,這些交易是由實際所有者簽署,表明存在私鑰洩露。該漏洞利用還可能影響 ETH 用戶。(來源鏈接)
8:32
Phantom在官方推特回應:我們正在與其他團隊密切合作,以查明 Solana 生態系統中報告的漏洞。目前,團隊不認為這是 Phantom 特有的問題。一旦我們收集到更多信息,我們將發布更新。(來源鏈接)
8:00左右
Decaf 開發者 @JuanRdBO 等開發者在檢查代碼後發現,此次安全事故或許與Solana 生態最大的钱包Phantom有關,稱這不是一起關於"受信任應用"的問題。如果用戶曾與 DeJBGdMFa1uynnnKiwrVioatTuHmNLpyFKnmB5kaFdzQ 進行過交互(Phantom 在創建錢包時與之交互),錢包就會遭受入侵。(來源鏈接)
7:00 左右
Magic Eden 官方推特表示,似乎有一個廣泛存在的 SOL 漏洞可以耗盡整個生態系統的錢包資產,Magic Eden 就此提醒用戶進行以下設置保護個人資產:進入 Phantom 錢包設置頁面;點擊受信任的應用(Trusted Apps);撤銷任何可疑鏈接的權限。(來源鏈接)
