持續更新| Solana鏈上錢包遭大規模攻擊，用戶可轉移資產至安全位置

Solana鏈上錢包遭遇大規模的攻擊。

8月3日早間，Solana鏈上NFT平台Magic Eden公告稱，似乎有一個廣泛存在的SOL 漏洞可以耗盡整個生態系統的錢包資產，截至11時有超8000個Solana錢包被盜，資金流向以下4個地址：
地址一：Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV；
地址二：CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu；
地址三：5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n；
地址四：GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy。

慢霧稱，目前攻擊仍在進行，從交易特徵上看，攻擊者在沒有使用攻擊合約的情況下，對賬號進行簽名轉賬，初步判斷是私鑰洩露。不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，因此推測可能問題出現在軟件供應鏈上。在新證據被發現前，慢霧建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置，等待事件分析結果。

本文將持續更新本次安全事件的進展：

8月10日04:34分

Solana生態錢包Phantom發推文稱：“經過近一周的調查，我們的團隊沒有發現任何證據表明Phantom的系統在8月2日的安全事件中遭到破壞。我們進行了全面的內部審計，沒有發現可以解釋此安全事件的漏洞，到目前為止，獨立審計Phantom的安全公司Halborn和OtterSec也還沒有發現任何可能導致此事件的問題。雖然一些Phantom用戶受到影響，但在我們審查的各個情況下，我們發現他們此前將助記詞或私鑰導入非Phantom錢包。”

8月9日03:18分

Solana官方發布8月2日Slope錢包事件更新：從UTC時間2022年8月2日22:37開始並持續約4小時，一個或多個惡意攻擊者盜取了9,231個錢包共計價值約410萬美元資產。鏈上交易顯示，受影響錢包的私鑰已被洩露，並被用於簽署惡意交易。在開發人員、分析公司和安全審計員的調查中，受影響的地址似乎曾在iOS和Android上的Slope錢包應用程序（由Slope Finance創建和發布）中創建、導入或使用。這些Slope用戶的私鑰資料被Slope應用程序無意中傳輸到應用程序監控服務，但黑客究竟是如何獲取或截獲這些信息的仍在調查中。此次攻擊沒有涉及與Solana Labs、Solana基金會或任何與Solana協議本身相關的核心代碼，這不是協議級別的漏洞。

這一漏洞似乎孤立於支持Solana和Ethereum地址的一個錢包提供商，但其他軟件錢包（如Phantom和Solflare）上受影響的用戶可能是用戶重複使用在Slope中生成或存儲的助記詞的結果。目前認為這不是與Slope以外的任何特定錢包實現直接相關的問題。無論是否使用Slope的硬件錢包沒有受到影響，任何從助記詞生成的從未被導入（或被Slope錢包使用）的錢包都沒有受到影響。然而，用戶只要將他們的助記詞導入Slope應用程序，就有受攻擊的風險。

Solana官方強調，Slope錢包用戶或者之前曾將助記詞導入Slope的設備，即使沒有資產被轉移，錢包也可能會被盜用。因此建議在另一個錢包應用程序中生成一個新的助記詞，將所有資產（代幣和NFT）轉移到這個新錢包，放棄舊地址，因為它可能會受到攻擊。用戶不應該重複使用以前在Slope移動應用中使用過的助記詞衍生的錢包。

8月5日13:37分

Solana被盜事件黑客已將部分被盜資金轉移至以太坊和波場據加密貨幣追踪平台MistTrack的推文，Solana生態錢包被盜事件黑客已將部分被盜資金轉移至以太坊和波場，其中大部分被盜資金（約53000枚USDT和USDC）通過TransitSwap跨鏈完成轉移。 TAd4uAHdSVpSjwzfBycmKcQR2UvaW8rVzy地址中的約11,801枚USDT在波場網絡被轉移至個人錢包，可能是通過場外交易OTC交易。此外，黑客的初始Gas費也來自同一個個人錢包。

8月4日15:38分

Solana生態錢包Slope表示，在發現中心化Sentry服務器引發的漏洞後已刪除服務器端日誌記錄。目前，受影響的9223個錢包中有1444個（15%）可能被追溯到此漏洞。 Slope正在與審計合作夥伴和Solana基金會合作，以發現任何潛在的額外攻擊媒介，並且已通知相關執法機構，以便對攻擊者進行刑事調查。

區塊鏈審計安全團隊OtterSec在推特上表示，已確認Slope的移動應用程序通過TLS向中心化的Sentry服務器發送助記詞。然後這些助記詞以明文形式存儲，這意味著任何有權訪問Sentry的人都可以訪問用戶私鑰。 OtterSec通過調查UTC時間7月28日至8月4日16:45的Sentry日誌，發現存在大約1,400個被漏洞利用的地址，值得注意的是，這並不能解釋所有被黑的地址。 OtterSec仍在調查這種差異和可能的其他媒介。在Sentry日誌中發現了超過5300個私鑰，而這些私鑰不屬於被漏洞利用的私鑰。 2358個地址中有代幣， 建議使用Slope的用戶轉移資金。

8月4日05:33分

慢霧發布對Solana攻擊事件的分析，據Solana基金會提供的數據，被盜用戶中約60%使用Phantom、約30%使用Slope，其餘使用Trust Wallet、Coin98 Wallet等，IOS和Android均未能倖免。在分析Slope Wallet (Android, Version: 2.2.2) 時，發現其使用了Sentry的服務。 Sentry是一項廣泛使用的服務，在“o7e.slope[.]finance”上運行。 Sentry的服務從Slope錢包中收集助記詞和私鑰等敏感數據，並在創建錢包時將其發送到https://o7e.slope[.]finance/api/4/envelope/，並發現Version: >=2.2.0包中的Sentry服務會收集助記詞發給“o7e.slope[.]finance”，而Version:2.1.3則沒有找到收集助記詞或私鑰的明顯行為。 Slope Wallet(Android, >= Version: 2.2.0) 於06/24/2022之後發布，所以Slope該日期之後的用戶受到影響。對於另外60%的使用Phantom錢包用戶，分析Phantom（版本：22.07.11_65）錢包後發現，Phantom（Android，版本：22.07.11_65）也使用Sentry服務收集用戶信息，但目前沒有發現任何明顯的收集助記詞或私鑰的行為。

8月4日05:10分

Slope回應：正就錢包攻擊事件開展內部調查和審計

針對Solana生態錢包大規模攻擊事件，Slope發佈公告稱，根據目前了解的情況，很多Slope錢包遭到入侵，Slope許多員工和創始人的錢包也被盜了。 Slope關於攻擊事件起因有一些假設，但尚未確定。 Slope正在積極開展內部調查和審計，與頂級外部安全和審計團隊合作；正與整個生態系統中的開發人員、安全專家和協議合作，努力識別和糾正這些問題。 Slope建議所有用戶採取以下措施：創建一個新的、獨立的種子短語錢包，並將所有資產轉移到新錢包。同樣，不建議在新錢包上使用與Slope上相同的種子短語。硬件錢包仍然是安全的。 Slope的公告沒有說明是否可能與私鑰存儲問題有關。此外，據CoinDesk報導，一位Slope代表表示：“我們不會在集中式服務器上存儲任何個人數據。”（該代表後來承認這是一個錯誤的陳述。）

8月4日04:05分

Solana Status在推特上發布攻擊事件調查進展：“經過開發人員、生態團隊和安全審計人員的調查，受影響的地址似乎曾經在Slope錢包應用中創建、導入錢包地址或曾經使用過該應用。此漏洞被隔離到Solana上的一個錢包，Slope使用的硬件錢包仍然安全。目前具體細節仍在調查中，但得知私鑰信息被無意間傳輸到了應用監控程序中。沒有證據表明Solana協議或其加密學遭到破壞。

8月3日21:13分

Solana Status剛剛發推稱，漏洞利用似乎不是Solana 核心代碼的錯誤，而是在網絡用戶中流行的幾個錢包軟件的問題。來自多個生態系統的工程師與審計和安全公司正在合作，繼續調查導致大約8000個錢包被耗盡的事件的根本原因。

8月3日14:51分

Solana Status發推表示，如果用戶的某Solana錢包遭受攻擊，是受影響的7767人之一，可填寫對應表格以確認問題，目前需要每個人的相關信息幫助才能弄清楚此次Solana攻擊事件發生了什麼。

8月3日14:37分

Solana生態Move to Earn應用Walken發推稱：“由於Solana發生的安全事件和正在進行的調查，目前無法與該區塊鏈交互，這導致了加載失敗和Walken應用程序出現錯誤，該應用程序將因維護而不可用，恢復時間未知。Walken團隊正在密切關注這一情況。”

8月3日13:09分

Solana Status發布攻擊事件更新，稱一個漏洞允許惡意行為者從Solana的多個錢包中盜取資金。截至今日13:00，大約有7767個錢包受到影響。該漏洞利用影響了多個錢包，包括Slope和Phantom，移動錢包和插件錢包都受到影響。工程師目前正在與多個安全研究人員和生態系統團隊合作，以確定漏洞利用的根本原因，目前尚不清楚。沒有證據表明硬件錢包受到影響，強烈建議用戶使用硬件錢包，並且不要在硬件錢包上重複使用助記詞，創建一個新的助記詞。被盜取的錢包應被視為已損壞並丟棄。

8月3日11:57分

Solana驗證節點Laine發推文稱：“Solana多個RPC節點似乎已停止服務請求，可能是因過載或故意造成的。這不會以任何方式影響底層鏈，Solana區塊鏈正常運行。用戶的錢包或瀏覽器可能現在沒有加載，但區塊鍊是正常運行。”Laine提醒道，這與授權無關，撤銷訪問權限無濟於事，需將資金從熱錢包轉移到硬件錢包或CEX，SOL和ETH均受到了影響。

8月3日10:39分

Solana Status官方發推文表示，來自多個生態系統的工程師正在幾家安全公司的幫助下調查本次大規模錢包被盜事件，目前沒有證據表明硬件錢包會受到影響，調查獲得進展將盡快公佈後續信息。

8月3日10:32分

Alavanche創始人Emin Gün Sirer發推稱：“目前針對Solana生態系統的持續攻擊仍在進行中，希望官方能快速澄清很多錯誤信息和猜測並恢復。此類攻擊不僅會影響直接目標系統，還會通過侵蝕人們對行業的信心而間接影響行業中的每個人。”

Emin Gün Sirer對此次事件分析稱：“因為交易的簽名是正確的，所以攻擊者很可能已經獲得了對私鑰的訪問權。一種可能的途徑是供應鏈攻擊，其中JS庫被黑客入侵，並洩露（竊取）用戶的私鑰。受影響的錢包似乎是在過去約9個月內創建的，但有報導稱新創建的錢包也受到影響。IOTA受到這種攻擊的影響，並且從未完全恢復。如果同一把鑰匙在兩個不同的人手中，則很難確定誰是合法所有者。停止區塊鏈無濟於事，當區塊鏈恢復時攻擊將恢復。”此外，Emin Gün Sirer也不認為攻擊的原因是由於隨機數生成器漏洞或零時差漏洞，他對Ava Labs的工程主管Patrick的觀點表示贊同，即“一種潛在的隨機數重用，最終會洩露私鑰”。 Emin Gün Sirer補充道：“這不是EVM風格的隨機數，而是用於製作ecdsa簽名的ps和qs。在所有情況下，硬件錢包和CEX（中心化交易所）似乎都沒有受到影響，因此在這些系統上持有SOL資產的人應該沒問題。”Ava Labs的工程主管Patrick在推特上寫道：“我想知道Solana項目正在使用的某些ed25519簽名庫中是否存在nonce重用漏洞。我認為這將允許任何查看Solana的攻擊者獲得私鑰，而不管私鑰是在哪裡生成的。 ”

8月3日10:25分

派盾預警發推文稱，似乎在Solana錢包遭攻擊之前，有用戶的TrustWallet和Slope錢包在Solana和以太坊上都發生了資金被盜，約8萬美元資產（包括7 ETH 、42000USDC、12000USDT 、 6PAXG等）進入攻擊者的以太坊地址。

8月3日8:50分

Solana審計公司OtterSec在推特上表示，在過去的幾個小時內，已經有超過5000個Solana錢包被耗盡，這證實了推特上許多人聲稱他們的餘額已經消失的報導。 OtterSec的分析顯示，這些交易是由所有者簽署的，該公司表示這表明存在私鑰洩露。該漏洞利用還可能影響ETH用戶，但目前該現象並不普遍。另據報導，超過6個月不活躍的錢包似乎受到的打擊最大。

8月3日8:33分

Move to Earn應用STEPN官方發推文稱，整個Solana生態系統似乎遭到了大規模的黑客攻擊，因此提醒用戶若將非託管錢包從外部導入/導出STEPN，需要檢查那些錢包是否有任何資產丟失，從該錢包轉移資產，或從STEPN應用程序中生成一個新的非託管錢包。

8月3日8:32分

Solana生態錢包Phantom發公告稱，我們正在與其他團隊密切合作，以查明Solana生態系統中報告的漏洞。目前，團隊不認為這是Phantom特有的問題。一旦我們收集到更多信息，我們將發布更新。

8月3日8:16分

Decaf開發者@JuanRdBO在推特上回應此前Magic Eden發布的SOL漏洞稱，這不是受信任應用的問題。如果用戶曾與DeJBGdMFa1uynnnKiwrVioatTuHmNLpyFKnmB5kaFdzQ進行過交互（Phantom在創建錢包時與之交互），錢包就會遭受入侵。

8月3日8:08分

Solana生態NFT市場Magic Eden發布警告稱，似乎有一個廣泛存在的SOL漏洞可以耗盡整個生態系統的錢包資產。 Magic Eden提醒用戶進行以下設置保護個人資產：1. 進入Phantom錢包設置頁面；2. 點擊受信任的應用（Trusted Apps）；3. 撤銷任何可疑鏈接的權限。