Slope安全事件更新：6月24日的钱包版本向Sentry发送了私钥，无法证明根本原因在于Slope

8月17日消息，Slope今日公布了8月2日安全事件相关外部审计报告。报告称，分析表明，2022年6月24日发布的Slope钱包版本向Sentry的服务发送了私钥或助记词（报告所涉及的Sentry服务是指Slope团队私下部署的Sentry服务，并非Sentry官方提供的接口和服务）。但是，从对Slope钱包应用的调查到现在，无法明确证明事件的根本原因在于Slope钱包，于是慢雾安全团队开始在Slope服务器上进行分析取证，需要进一步的证据来解释这次事件的根本原因。

目前，通过对链下服务器和相关的后端服务的分析发现，未发现直接入侵外围服务器的漏洞点，未发现服务器入侵痕迹。在对服务器入侵痕迹分析中，未发现服务器入侵痕迹。但可疑IP（113.*.*.*,114.*.*.*,153.*.*.*）仍需排查，此外，未在客户端-服务器通信中发现DNS劫持的证据。在链上分析中，风险资本评估未发现大额可转移风险资金和潜在风险资金。截至本文发表时，被盗资金并未进一步转移。

SolanaStatus：漏洞或来源于Slope钱包:8月4日消息，SolanaStatus在Twitter上表示，经过开发人员、生态团队和安全审计人员的调查，受影响的地址似乎曾经在Slope钱包应用中创建、导入钱包地址或曾经使用过该应用。

SolanaStatus表示，目前具体细节仍在调查中，可能是由于私钥信息被无意间传输到了应用监控程序中。Slope证实了在本事件中有一些Slope钱包被攻击，但未确定具体原因。[2022/8/4 2:58:01]

Slope回应：未在集中式服务器上存储个人数据，仍在调查具体原因:8月4日消息，针对Solana生态钱包大规模攻击事件，Slope发布公告称，根据目前了解的情况，很多Slope钱包遭到入侵，Slope许多员工和创始人的钱包也被盗了。Slope关于攻击事件起因有一些假设，但尚未确定。Slope正在积极开展内部调查和审计，与顶级外部安全和审计团队合作；正与整个生态系统中的开发人员、安全专家和协议合作，努力识别和纠正这些问题。

Slope建议所有用户采取以下措施：创建一个新的、独立的种子短语钱包，并将所有资产转移到新钱包。同样，不建议在新钱包上使用与Slope上相同的种子短语。硬件钱包仍然是安全的。

此外，Slope的公告没有说明是否可能与私钥存储问题有关。一位Slope代表告诉CoinDesk，“我们不会在集中式服务器上存储任何个人数据。”

据此前报道，Solana?Labs首席执行官Anatoly Yakovenko最初在推特上表示，他怀疑该漏洞可能与Apple iOS供应链攻击有关，但后来将源头缩小到对Slope集中式服务器的黑客攻击，其中私钥似乎以纯文本形式存储。Twitter 上的其他开发人员也推测，Slope将私钥以明文形式存储在集中式服务器上，而攻击者已将其破坏。（CoinDesk）[2022/8/4 2:57:58]

摄影NFT平台Sloika完成200万美元种子轮融资:金色财经报道，以摄影为中心的NFT平台Sloika宣布完成200万美元种子轮融资，由1confirmation领投，South Park Commons、SuperRare创始人兼首席执行官John Crain、Manifold创始人兼首席执行官Eric Diep，以及LogDNA联合创始人Christopher Nguyen等参投。[2021/11/30 12:41:48]

相关资讯