安全团队：Slope Wallet (Android, Version: 2.2.2)的sentry服务存在私钥泄露

8月4日消息，慢雾发布对 Solana 攻击事件的分析，据 Solana 基金会提供的数据，被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope，其余使用 Trust Wallet、Coin98 Wallet 等，IOS 和 Android 均未能幸免。

在分析 Slope Wallet (Android, Version: 2.2.2) 时，发现其使用了 sentry 的服务。Sentry 是一项广泛使用的服务，在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据，并在创建钱包时将其发送到 https://o7e.slope[.]finance/api/4/envelope/，并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”，而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布，所以 Slope 该日期之后的用户受到影响。

对于另外 60% 的使用 Phantom Wallet 用户，分析 Phantom（版本：22.07.11_65）钱包后发现，Phantom（Android，版本：22.07.11_65）也使用 sentry 服务收集用户信息，但目前没有发现任何明显的收集助记词或私钥的行为。

其它快讯：

安全团队：ShadowFi未定义合理访问控制，遭攻击者利用:据官方消息，9月2日，HyperLab安全团队在BSC链上检测到ShadowFi Token贬值事件。攻击者将10,354,936.721195451 SDF token销毁，随后将 8.461538282 SDF换成约合$30万BNB资产。

团队分析称，从交易细节可得，攻击者在交易中调用burnTokens()函数烧掉了SDF，而ShadowFi合约没有实现权限验证函数onlyOwner，设置burnTokens为public，导致被攻击者利用，将代币全部销毁。项目方对于burn()这类函数, 没有定义合理的访问控制, 导致任意用户都能调用这个合约, 从而造成不必要的损失。

据悉，Hyperlab围绕数字钱包这一核心产品及其周边服务，针对热钱包安全、冷钱包安全、钱包服务器安全，以及钱包使用者安全等议题开展研究工作，为用户和企业提供安全解决方案和服务。[2022/9/2 13:05:12]

安全团队：NFT项目AzukiArt Discord服务器遭攻击:7月14日消息，据CertiK监测，NFT项目AzukiArt的Discord服务器遭受攻击，请社区用户不要点击链接、铸造以及批准任何交易。[2022/7/14 2:12:53]

太壹科技交易所安全团队：超过90%的交易所被这四大安全问题所困:本周三晚，太壹科技&优盾钱包系列课程-《如何彻底解决交易所安全》顺利结束。

针对困扰超过90%交易所的四大交易所安全问题——访问安全、系统安全问题、系统资金安全问题、用户资金安全问题，太壹科技CTO章亚亮结合实际经验分享了解决思路：“交易所安全问题不是点而是面的问题。为了预防并攻克这4大类安全问题，太壹科技考虑到了一整套的周边情况，为交易所客户搭建了一套生态保护服务。”

未来太壹科技将陆续推出专业的风控产品、优盾3.0升级以及和业内知名安全厂商展开深入安全合作，打造出一个更加专业、安全、有温度的交易所平台。

优盾钱包，是一款企业级交易所钱包管理系统，以安全完善的技术重新定义数字资产钱包，为比特币、以太坊等100多种币种提供API接入；顶级私钥BOSS自主掌握，子私钥动态计算不触网，硬件加持，纯冷操作；多级财务审核策略，资产动向、操作日志一目了然；海量地址统一管理，余额一键自动归集。[2020/7/30]

相关资讯