Solana 漏洞利用与进口的 Slope Finance 钱包相关，私钥泄露

周三凌晨，一个重大漏洞已导致数千个加密钱包的资金被耗尽。最初的报告是在事件进行时发布的；但是，后续文章披露了有关与 Slope FInance 连接的更多信息。

关于漏洞利用起源的信息终于曝光。Slope 周三晚间发表声明，建议所有钱包所有者将导入 Slope 的钱包中的任何资金转移。该警告扩展了建议，指出它“不建议在这个新钱包上使用与 Slope 相同的助记词”。

许多用户在资金耗尽时使用的另一个 Solana 钱包 Phantom 发表声明，指出“与从 Slope Finance 导入账户相关的并发症”。

1/ Phantom 有理由相信所报告的漏洞是由于与@slope_finance 之间的账户导入相关的复杂性造成的。

我们仍在积极努力确定是否存在导致此事件的其他漏洞。

— phantom (@phantom) 2022 年 8 月 3 日

由 Solana 基金会运营的 Solana Status Twitter 账户也发表了一份声明，确认与 Slope 移动钱包的关系。

经过开发人员、生态系统团队和安全审计员的调查，受影响的地址似乎曾经在 Slope 移动钱包应用程序中创建、导入或使用过。1/2

— Solana 状态 (@SolanaStatus) 2022 年 8 月 3 日

在 Twitter 线程中，Solana 基金会透露“私钥信息被无意中传输到了应用程序监控服务”。

悲剧故事中的一线希望是该问题似乎不是区块链或种子生成问题。Solana 区块链的加密证明中的缺陷可能对整个加密生态系统产生毁灭性影响。然而，这似乎不再存在，Solana 基金会确认“没有证据表明 Solana 协议或其密码学受到损害。”

在 Moon Rank NFT 的日志截图中，Foobar 强调了在 Slope API 调用中可能包含私钥和助记词。虽然 POST 请求似乎是通过 SSL 加密发送的，但包含助记词的事实令人不安。一个可能的原因是中间人攻击，恶意行为者可以监听两方之间的通信以窃取敏感信息。

@MoonRankNFT的MITM 日志显示助记符通过 POST 请求传递到 Slope 服务器。钱包名称纯属巧合

— foobar (@0xfoobar) 2022 年 8 月 3 日

有点令人担忧的是，用户仍然宣称他们“在 [他们的] 生活中从未使用过 Slope”，但他们的钱包仍然被掏空。用户还报告说 Trust Wallet 账户的资金被耗尽，但这些账户是有限的。

该漏洞损失的总价值尚不清楚，但据报道，数字高达 5.8 亿美元，因为该钱包“已在 SolScan 上被标记为参与漏洞利用，余额为 5.7 亿美元。然而，这些资金大部分来自 EXIST 代币，在 CoinMarketCap 或 CoinGecko 上都没有追踪到，因此被利用的流动资金很可能不到 1000 万美元。

Binance 创始人兼首席执行官 CZ 现在还建议所有在 Slope Finance 上使用过钱包的用户将资金转移到新钱包或币安，如果你不理解“私钥或助记词”的话。

如果您过去使用过 Slope 钱包（用于 SOL），请尽快将您的资金转移到其他钱包。不要“导入”旧钱包。使用新的私钥或助记词。如果您不知道这些词的意思，请将您的 SOL 发送至@binance。简单的方法。

— CZ 🔶 Binance (@cz_binance) 2022 年 8 月 3 日