【动态关注】一场扑朔迷离的 Solana 安全事故

整理：念青，链捕手

北京时间8月3日凌晨，Solana被爆出现大规模安全事故，截止发稿前，已有9000余个钱包受到影响，目前黑客身份不明，漏洞定位不清，Solana上钱包还在不断被侵害中。可以说，此次Solana被盗案是目前加密行业受影响范围最大的安全事故，在行业内多位知名开发者和工程师共同参与的情况下，还迟迟未调查出被盗原因，可以称得上扑朔迷离。链捕手再次提醒各位用户注意资金安全。

本文将按时间倒序更新关于Solana的最新动态，请持续关注。

一、实时数据链接：

1、被盗钱包地址数：9223

2、被盗金额：$5,927,974

3、黑客钱包地址：

https://solscan.io/account/Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

https://solscan.io/account/CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

https://solscan.io/account/GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

https://solscan.io/account/5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

4、Solscan 关于 Solana 漏洞的相关数据汇总：

https://beta-analysis.solscan.io/public/dashboard/ffaf8155-1d6f-4ec7-96db-2e8e8bc5c160#theme=night

二、最新动态

8月4日

15:58

Solana钱包 Slope 在推特上表示，Slope 据 OtterSec 发现的漏洞，已将服务器端日志记录删除，表示目前受影响的9223个钱包中的约15%个钱包（1444）资产被盗。并提醒用户更换新的助记词。（来源链接）

15:05

Solana 审计公司 OtterSec 在推特上表示，已经独立确认 Slope 的移动应用程序通过 TLS 将助记符发送到其集中式 Sentry 服务器。然后这些助记符以明文形式存储，这意味着任何有权访问 Sentry 的人都可以访问用户私钥。Sentry 日志中存在大约 1,400 个漏洞利用地址。值得注意的是，这并不能说明所有被黑地址。我们仍在调查这种差异和可能的其他媒介。（来源链接）

10:14

慢雾今日发布对 Solana 攻击事件的分析中指出，初步筛查出 30% 用户被盗原因为 Slope Wallet (Android, Version: 2.2.2) 的 sentry 服务存在私钥泄露。60% 被盗用户使用的是 Phantom 钱包，其被盗原因暂未查明。慢雾表示，如果你有任何的思路欢迎一起讨论，希望能一起为 Solana 生态略尽绵薄之力。以下是具体疑问点：

1. Sentry 的服务收集用户钱包助记词的行为是否属于普遍的安全问题？

2. Phantom 使用了 Sentry，那么 Phantom 钱包会受到影响吗？

3. 另外 60% 被盗用户被黑的原因是什么呢？

4. Sentry 作为一个使用非常广泛的服务，会不会是 Sentry 官方遭遇了入侵？从而导致了定向入侵虚拟货币生态的攻击？（来源链接）

4:05

Solana Status 在 Twitter 上表示，经过开发人员、生态团队和安全审计人员的调查，受影响的地址似乎曾经在 Slope 钱包应用中创建、导入钱包地址或曾经使用过该应用。Solana Status 表示，目前具体细节仍在调查中，可能是由于私钥信息被无意间传输到了应用监控程序中。Slope 证实了在本事件中有一些 Slope 钱包被攻击，但未确定具体原因。（来源链接）

3:52

Solana 生态钱包 Phantom 发推特称，“此次 Solana 攻击事件漏洞，有理由相信是因为与 slope 交互中，导入导出账户的复杂性所导致的”，建议 Phantom 用户安装了除 Slope之外的新钱包并创建新的助记词。（来源链接）

8月3日

16:24

Solana Labs 联合创始人@aeyakovenko发推特表示，据分析此次攻击事件似乎是 iOS 供应链受到了攻击，其中多个只收到 SOL 且没有其他交互的可信钱包受到了影响，它们曾将外部生成的私钥导入 iOS。同时他表示只是所有已确认的信息都是 iOS 设备，“但可能也是因为它的欢迎程度”。（来源链接）

14:51

Solana Status 正收集被攻击用户信息以确认根本原因 ，如果你的钱包被盗，可通过此链接填写：https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co。

12:19

软件及区块链公司 Laine 发推特称，目前 RPC 节点正在恢复服务，验证器正常运行，称之前 RPC 节点暂停服务是为了减缓减慢攻击者的速度。

Laine曾发推文称：“ Solana多个 RPC 节点似乎已停止服务请求，可能是因过载或故意造成的。这不会以任何方式影响底层链，Solana 区块链正常运行。用户的钱包或浏览器可能现在没有加载，但区块链是正常运行。”（来源链接）

11:57

软件及区块链公司 Laine 推特表示，Solana多个 RPC 节点似乎已停止服务请求，可能是因过载或故意造成的。这不会以任何方式影响底层链，Solana 区块链正常运行。用户的钱包或浏览器可能现在没有加载，但区块链是正常运行。（来源链接）

与此同时，很多用户表示 Solana 区块浏览器 Solscan、SolanaFM等无法正常使用。

10:39

Solana Status 在社交媒体上发文表示，漏洞允许恶意行为者从多个 Solana 钱包中盗取资金。截至世界标准时间凌晨 5 时（北京时间 13 时），大约有 7767 个钱包受到影响。该漏洞利用影响了多个钱包，包括 Slope 和 Phantom，移动钱包和插件钱包似乎都受到影响。

目前尚不清楚漏洞利用的根本原因，但工程师已与多个安全研究和生态系统团队展开合作。目前没有证据表明硬件钱包受到影响，强烈建议用户使用硬件钱包，并且不要在硬件钱包上重复使用助记词，创建一个新的助记词，被盗取的钱包应被视为已损坏并丢弃。（来源链接）

10:32

Avalanche Gün 教授 Emin Gün Sirer 在个人社交媒体平台发文表示，目前在针对 Solana 生态系统的持续攻击中，已经有 7000 多个钱包受到影响，并且正在以 20 个/min 的速度增长。 他表示，现在还很早期，而且攻击仍在进行中，所以有很多错误信息和猜测。

由于交易签名正确，攻击者很可能已经获得对私钥的访问权限。一种可能的途径是”供应链攻击”，其中 JS 库被黑客入侵，并泄露（窃取）用户的私钥。受影响的钱包似乎是在过去 9 个月内创建的，但也有报告说新创建的钱包也受到影响。但目前停止 Solana 网络是没有效果的，当网络恢复时攻击将恢复。（来源链接）

9:00左右

开发者 @0xfoobar 在推特表示，超过 6 个月不活跃的钱包受到的打击最大，Phantom 和 Slope 钱包都出现了资金盗取。漏洞利用原因未知，可能是上游依赖供应链攻击，撤销批准可能无济于事，解决方案是将资产转移到从未将私钥暴露给潜在易受攻击的浏览器扩展的钱包中，即硬件钱包。（来源链接）

8:50

Solana 审计公司 OtterSec 在推特上表示，过去几个小时内有超过 5000 个 Solana 钱包资金被盗取，OtterSec 分析显示，这些交易是由实际所有者签署，表明存在私钥泄露。该漏洞利用还可能影响 ETH 用户。（来源链接）

8:32

Phantom在官方推特回应：我们正在与其他团队密切合作，以查明 Solana 生态系统中报告的漏洞。目前，团队不认为这是 Phantom 特有的问题。一旦我们收集到更多信息，我们将发布更新。（来源链接）

8:00左右

Decaf开发者 @JuanRdBO 等开发者在检查代码后发现，此次安全事故或许与Solana 生态最大的钱包Phantom有关，称这不是一起关于“受信任应用”的问题。如果用户曾与 DeJBGdMFa1uynnnKiwrVioatTuHmNLpyFKnmB5kaFdzQ 进行过交互（Phantom 在创建钱包时与之交互），钱包就会遭受入侵。（来源链接）

7:00 左右

Magic Eden 官方推特表示，似乎有一个广泛存在的 SOL 漏洞可以耗尽整个生态系统的钱包资产，Magic Eden 就此提醒用户进行以下设置保护个人资产：进入 Phantom 钱包设置页面；点击受信任的应用（Trusted Apps）；撤销任何可疑链接的权限。（来源链接）