亏了几百万！谁是盗窃索拉纳生态的罪魁祸首？

8月3日，成都联安鹰眼-区块链安全态势感知平台舆情监测显示，索拉纳发生大规模盗币事件。在记者发稿前，有近万个索拉纳钱包地址遭到攻击，被盗的有索尔、SPL、USDC、USDT、BTC、ETH等。价值约600万美元。在昨天的预警中，我们建议索拉纳钱包用户尽快将加密资产转移到CEX或硬件钱包。

被盗钱包数量(数据来源solscan.io)

被盗金额统计

(数据来源solscan.io，截至北京时间8月4日17:40)

我们能知道的是，索拉纳正在经历一场大规模的安全事件。事件发生的背景是什么？今天就来一探究竟。

索拉纳身上的钱包被袭击了。一万多钱包是怎么被偷的？8月3日，首先，Solana生态NFT市场的MagicEden官方宣布，疑似存在SOL漏洞，可以窃取Phantom wallet中的资产。

那么，独立安全研究员CIA Officer，现在黑客们正在以一种不为人知的方式从普通用户的钱包中抽取$SOL。目前，被盗资金金额超过500万美元。

知名开发者@0xfoobar发推文称，除了Phantom之外，Slope钱包用户也曾报告失窃。

然后，越来越多的用户钱包被入侵，大家才发现情况变得严重了！

针对整个事件，索拉纳官方的回应是：“来自多个生态系统的工程师正在多家安全公司的帮助下调查这起大规模钱包失窃事件。目前没有证据显示硬件钱包会受到影响，会进行调查。进展会尽快公布。”

成都链安全技术团队第一时间跟踪分析，现将本次攻击的分析进展分享如下。

分享一下这次攻击的分析进度昨天我们宣布被盗资金进入了这些钱包地址，每个地址的金额如下：

HTP 9 mgp 8 TIG 923 zfy 7 qf 2 zzbmumynefrahsp 7 vsg 4 wxv

cez n7m qp 9 xox N2 hdyw 6 fjej 73t 7 qax 9 RP 2 zys 6 HB 3 ieu

5 wbygqg 6 bderm 2 nnnyumqxfcun b 68 b 6 kesxbyw h1 j 3n

geeccgj 9 bezvbvor 1 njkbcciqxjbxvedhaxdcrbdbmuy

黑客的四个钱包地址的数量(实时变化)

(数据来源solscan.io，截至北京时间8月4日17:40)

目前，分析进展如下：

第一点：

根据用户反馈，目前受到影响的钱包主要是幻影钱包和斜坡钱包。

成都链安全团队分析发现了Slope钱包使用的Sentry服务，发现该服务会在用户创建钱包时，将助记符、私钥等敏感数据发送到Slope的服务器o7e.slope.finance，导致助记符或私钥泄露。

目前坡官方已经发文，正在努力解决这个问题。

在分析Phantom wallet时，逆向代码发现它还包含哨兵库，但通过抓取钱包的分析，并没有发现用户在创建钱包时向服务器发送了助记符、私钥等敏感数据。

此外，根据舆论，NEAR的钱包也被发现与6月份的Slope钱包相似。当近钱包用户选择“电子邮件”作为助记符恢复方式时，助记符被泄露给第三方网站。

第二点：

舆论称，艾娃实验室的工程总监patrickogrady在推特上写道：“我想知道在Solana项目中正在使用的一些ed25519签名库中是否存在nonce重用漏洞。我认为这将允许任何看着索拉纳的攻击者获得私钥，不管它是在哪里生成的。”针对这一猜测，成都链家安全团队正在持续跟进。

目前，成都链家安全团队正积极配合受害者和钱包团队，持续跟踪研究事件。

用户和项目方在钱包安全方面需要注意什么？这起大规模的钱包被盗案也给了我们很多启示。在Web3.0的生态世界中，我们对钱包安全也有以下建议：

对于用户：

用户通常可以根据用途将钱包分为两类。第一类用来存放资产，包括一些大额资产，可以用冷钱包存放，提高安全性。

第二类用于资产交易，可以使用一些临时钱包。临时钱包包括：用MetaMask之类的钱包重新创建地址，存放一点钱；或者一些在线钱包，比如一次性钱包等。只需在网页上设置转账地址、金额等转账参数，即可生成小额交易的临时二维码。

同时，用户在做一些潜在危险的交易时，可以使用不同的PC或者不同的浏览器，比如PC和浏览器。

对于项目方：

钱包项目方也要注意不要把用户的私钥和助记词上传到服务器，项目方最好在产品上线前找专业的第三方安全公司进行专业的安全审核。

写在上次被盗事件之后，成都链安第一时间发出预警，建议索拉纳钱包用户尽快将加密资产转移到CEX或硬件钱包，避免损失扩大。与此同时，成都链安团队正在利用链追智能研判平台——虚拟货币案件，对被盗资金地址进行监控追踪。

作为致力于区块链安全生态建设的全球领先的区块链安全公司，以及首家将形式化验证技术应用于区块链安全的公司，成链安全与国内外头部区块链企业建立了深度合作；已为全球2000多个智能合同、100多个区块链平台和落地应用系统提供安全审计和国防部署服务。自主研发的一站式区块链安全服务平台，可为执法监管机构、金融机构、区块链企业提供安全审计、安全防护、安全监管、安全预警、安全咨询等全生命周期安全解决方案。欢迎点击微信官方账号的留言箱联系我们。