Slope 发布官方声明表示,正在开展内部调查和审计,并与外部安全和审计小组、生态系统开发人员、安全专家和协议合作,以识别和纠正。
Solana Status 发推表示,受影响的地址似乎曾经在 Slope 移动钱包应用程序中创建、导入或曾使用过,私钥信息被无意中传输到了应用程序监控服务。Slope 使用的硬件钱包仍然安全。没有证据表明 Solana 协议或其密码学遭到破坏,具体如何发生的细节仍在调查。
阅读原文
慢雾:Slope Wallet (Android, Version: 2.2.2) 使用的 sentry 服务存在私钥泄露
2022-08-04
吴说获悉,慢雾对 8 月 3 日的 Solana 攻击事件的分析,根据 Solana 基金会提供的数据,被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope,其余使用 Trust Wallet、Coin98 Wallet 等,IOS 和 Android 均未能幸免。在分析 Slope Wallet (Android, Version: 2.2.2) 时,发现它使用了 sentry 的服务。Sentry 是一项广泛使用的服务,在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据,并在创建钱包时将其发送到https://o7e.slope[.]finance/api/4/envelope/,并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”,而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布,所以 Slope 该日期之后的用户受到影响。对于另外 60% 的使用 Phantom Wallet 用户,分析 Phantom(版本:22.07.11_65) 钱包后发现,Phantom(Android,版本:22.07.11_65)也使用 sentry 服务收集用户信息,但目前没有发现任何明显的收集助记词或私钥的行为。
阅读原文
阅读原文
风险提示
根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”,本网站内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。吴说内容未经许可,禁止进行转载、复制等,违者将追究法律责任。目前存在大量伪造账号,吴说只提供区块链行业信息,任何内容不涉及政治,也绝不会私信要求转账,更不会喊单某一代币,请勿相信。
关注我们
生成海报
风险提示
根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”,本网站内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。吴说内容未经许可,禁止进行转载、复制等,违者将追究法律责任。目前存在大量伪造账号,吴说只提供区块链行业信息,任何内容不涉及政治,也绝不会私信要求转账,更不会喊单某一代币,请勿相信。
