1、从 7 月 28 日到 8 月 3 日,Slope 钱包在移动设备上的 Sentry 服务实施存在一个漏洞,在应用程序生成错误事件的情况下,该漏洞会无意中记录敏感数据;
2、没有证据表明所有安全层(例如,传输和存储)都受到了损害。所有到 Sentry 服务器的传输都通过 HTTPS 端到端加密进行保护,并且通过 3 因素身份验证控制对 Sentry 服务器的访问。
3、正如 Ottersec 之前的中期报告所证实的那样,调查团队已经交叉比较了所有被黑地址(总共 9,232 个地址)与 Sentry 数据库中漏洞的所有暴露地址:所有被黑地址的数量大于总数从 Sentry 服务器公开的地址数;在交叉比较中,Sentry 服务器的总曝光量中的一小部分(1,444 个地址)已被确认耗尽。
尽管审计人员没有确凿的证据将 Slope 漏洞与该 Sentry 漏洞利用联系起来,但它的存在使大量资产处于危险之中。在调查和多方严格审查期间,我们没有发现 Sentry 服务器问题以外的其他漏洞。
阅读原文