Slope：如果攻擊者歸還被盜資金，將支付10%的賞金

金色財經消息，本周早些時候大約超500萬美元被利用的Solana錢包Slope Wallet宣布，如果攻擊者歸還被盜資金，它將支付10%的賞金。

在一條推文中，Slope團隊發布了Solana錢包地址，并以額外的動機向小偷發出呼吁：“在收到這些資金后，我們不會再努力調查此事，也不會采取任何法律行動。”

該團隊給了攻擊者一個48小時的窗口來返還資金并獲得賞金。它補充說，它一直在與執法部門和領先的區塊鏈情報公司TRM實驗室合作，以追回被盜資金。

周二晚上，一名攻擊者訪問了以明文形式存儲在Slope中央服務器上的用戶助記詞，并使用它們竊取了加密貨幣。該漏洞利用影響了數千名用戶。

其它快訊：

Slope：發現漏洞后已刪除服務器端日志記錄，1444個被盜錢包或可追溯到該漏洞:8月4日消息，Solana生態錢包Slope表示，在發現中心化Sentry服務器引發的漏洞后已刪除服務器端日志記錄。目前，受影響的9223個錢包中有1444個（15%）可能被追溯到此漏洞。Slope正在與審計合作伙伴和Solana基金會合作，以發現任何潛在的額外攻擊媒介，并且已通知相關執法機構，以便對攻擊者進行刑事調查。

區塊鏈安全機構OtterSec此前在社交媒體上發文表示，在過去兩天內，超過400萬美元資產從Solana錢包中被盜，已經確認Slope移動應用通過TLS將助記符發送到其中心化Sentry服務器，然后這些助記符以明文形式存儲，這意味著任何有權訪問Sentry的人都可以訪問用戶私鑰。在本次攻擊中這些地址中的約1400個地址存在于Sentry中，不過這并非所有被盜地址。我們仍在調查可能的其他媒介。另外，在Sentry實例中發現了超5300個未包含在此次漏洞攻擊的私鑰，其中2358個地址中有Token，建議Slope用戶盡快轉移資金。[8/4/2022 5:09:52 PM]

安全團隊：Slope Wallet (Android, Version: 2.2.2)的sentry服務存在私鑰泄露:8月4日消息，慢霧發布對 Solana 攻擊事件的分析，據 Solana 基金會提供的數據，被盜用戶種約 60% 使用 Phantom、約 30% 使用 Slope，其余使用 Trust Wallet、Coin98 Wallet 等，IOS 和 Android 均未能幸免。

在分析 Slope Wallet (Android, Version: 2.2.2) 時，發現其使用了 sentry 的服務。Sentry 是一項廣泛使用的服務，在“o7e.slope[.]finance”上運行。Sentry 的服務從 Slope 錢包中收集助記詞和私鑰等敏感數據，并在創建錢包時將其發送到 https://o7e.slope[.]finance/api/4/envelope/，并發現 Version:>=2.2.0 包中的 sentry 服務會收集助記詞發給“o7e.slope[.]finance”，而 Version:2.1.3 則沒有找到收集助記詞或私鑰的明顯行為。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后發布，所以 Slope 該日期之后的用戶受到影響。

對于另外 60% 的使用 Phantom Wallet 用戶，分析 Phantom（版本：22.07.11_65）錢包后發現，Phantom（Android，版本：22.07.11_65）也使用 sentry 服務收集用戶信息，但目前沒有發現任何明顯的收集助記詞或私鑰的行為。[8/4/2022 10:11:32 AM]

聲音 | PeckShield: EOS競猜游戲EOSlots遭隨機數破解:今天晚上21:16～21:21之間，PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜類游戲EOSlots發起連續攻擊，并獲利數千EOS，目前游戲已經暫停運營。PeckShield安全人員初步研究發現，此次是因游戲合約隨機數問題被攻破。在此提醒，開發者應在合約上線前做好安全測試，特別注意隨機數生成算法的安全問題，必要時可尋求第三方安全公司協助，幫助其完成合約上線前黑盒測試及基礎安全防御部署。[4/4/2019 12:00:00 AM]