Solana生态钱包Slope更新攻击调查进展称,在调查和多方审查期间未发现其他漏洞,独立审计发现包括:
一、从7月28日到8月3日,Slope钱包在移动设备上的Sentry服务器实施存在一个漏洞,在应用程序生成错误事件的情况下,该漏洞会无意中记录敏感数据;
Slope回应:未在集中式服务器上存储个人数据,仍在调查具体原因:8月4日消息,针对Solana生态钱包大规模攻击事件,Slope发布公告称,根据目前了解的情况,很多Slope钱包遭到入侵,Slope许多员工和创始人的钱包也被盗了。Slope关于攻击事件起因有一些假设,但尚未确定。Slope正在积极开展内部调查和审计,与顶级外部安全和审计团队合作;正与整个生态系统中的开发人员、安全专家和协议合作,努力识别和纠正这些问题。
Slope建议所有用户采取以下措施:创建一个新的、独立的种子短语钱包,并将所有资产转移到新钱包。同样,不建议在新钱包上使用与Slope上相同的种子短语。硬件钱包仍然是安全的。
此外,Slope的公告没有说明是否可能与私钥存储问题有关。一位Slope代表告诉CoinDesk,“我们不会在集中式服务器上存储任何个人数据。”
据此前报道,Solana?Labs首席执行官Anatoly Yakovenko最初在推特上表示,他怀疑该漏洞可能与Apple iOS供应链攻击有关,但后来将源头缩小到对Slope集中式服务器的黑客攻击,其中私钥似乎以纯文本形式存储。Twitter 上的其他开发人员也推测,Slope将私钥以明文形式存储在集中式服务器上,而攻击者已将其破坏。(CoinDesk)[2022/8/4 2:57:58]
二、没有证据表明所有安全层都受到损害。所有到Sentry服务器的传输都通过HTTPS端到端加密进行保护,并且通过三因素身份验证控制对Sentry服务器的访问。
去中心化移动网络Pollen Mobile完成种子轮融资,Slow Ventures领投:4月20日消息,去中心化移动网络 Pollen Mobile 完成种子轮融资,融资金额未披露。本轮融资由 Slow Ventures 领投,DISH Wireless、Delphi Digital、OVN Capital 和 Acorn Pacific Ventures 等参投。新资金将加速部署全球首家以隐私为重点、用户拥有和运营的移动运营商。
Pollen 通过授权其用户社区利用区块链、公民宽带无线电服务 (CBRS) 频谱和其他开源技术构建、拥有和运营分散的网络基础设施,从而颠覆了传统的集中式移动网络模型。(globenewswire)[2022/4/20 14:35:30]
三、Ottersec之前所证实,调查团队已经交叉比较了所有被黑地址与Sentry数据库中漏洞的所有暴露地址,发现所有被黑地址的数量大于从Sentry服务器公开的地址总数,Sentry服务器的总暴露地址中的一小部分已被确认耗尽。
声音 | PeckShield: EOS竞猜游戏EOSlots遭随机数破解:今天晚上21:16~21:21之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏EOSlots发起连续攻击,并获利数千EOS,目前游戏已经暂停运营。PeckShield安全人员初步研究发现,此次是因游戏合约随机数问题被攻破。在此提醒,开发者应在合约上线前做好安全测试,特别注意随机数生成算法的安全问题,必要时可寻求第三方安全公司协助,帮助其完成合约上线前黑盒测试及基础安全防御部署。[2019/4/4]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。