SENT:Slope:除此前Sentry服务器实施问题外未发现其他漏洞

Solana生态钱包Slope更新攻击调查进展称,在调查和多方审查期间未发现其他漏洞,独立审计发现包括:

一、从7月28日到8月3日,Slope钱包在移动设备上的Sentry服务器实施存在一个漏洞,在应用程序生成错误事件的情况下,该漏洞会无意中记录敏感数据;

Slope安全事件更新:6月24日的钱包版本向Sentry发送了私钥,无法证明根本原因在于Slope:8月17日消息,Slope今日公布了8月2日安全事件相关外部审计报告。报告称,分析表明,2022年6月24日发布的Slope钱包版本向Sentry的服务发送了私钥或助记词(报告所涉及的Sentry服务是指Slope团队私下部署的Sentry服务,并非Sentry官方提供的接口和服务)。但是,从对Slope钱包应用的调查到现在,无法明确证明事件的根本原因在于Slope钱包,于是慢雾安全团队开始在Slope服务器上进行分析取证,需要进一步的证据来解释这次事件的根本原因。

目前,通过对链下服务器和相关的后端服务的分析发现,未发现直接入侵外围服务器的漏洞点,未发现服务器入侵痕迹。在对服务器入侵痕迹分析中,未发现服务器入侵痕迹。但可疑IP(113.*.*.*,114.*.*.*,153.*.*.*)仍需排查,此外,未在客户端-服务器通信中发现DNS劫持的证据。在链上分析中,风险资本评估未发现大额可转移风险资金和潜在风险资金。截至本文发表时,被盗资金并未进一步转移。[2022/8/17 12:31:05]

二、没有证据表明所有安全层都受到损害。所有到Sentry服务器的传输都通过HTTPS端到端加密进行保护,并且通过三因素身份验证控制对Sentry服务器的访问。

Solana钱包Slope Finance完成800万美元A轮融资,Solana Ventures领投:2月24日消息,Solana钱包Slope Finance完成800万美元A轮融资,Solana Ventures和Jump Crypto领投,Sequoia China(红杉中国)、Genesis Trading、VMS、Spark Digital、Circle Ventures、Huobi等参投。融资用于扩大在美国的团队,Slope上个月在美国开设了第一个办事处。(CoinDesk)[2022/2/24 10:12:07]

三、Ottersec之前所证实,调查团队已经交叉比较了所有被黑地址与Sentry数据库中漏洞的所有暴露地址,发现所有被黑地址的数量大于从Sentry服务器公开的地址总数,Sentry服务器的总暴露地址中的一小部分已被确认耗尽。

动态 | 中信银行携7家国际银行 借区块链简化信用状交易:据中时电子报消息,中信金(2891)旗下中信银行携手国际银行团,与汇丰银行(HSBC)、荷商安智银行(ING)、渣打银行(Standard Chartered)、法国巴黎银行(BNP Paribas)、国民西敏寺银行(NatWest)、瑞典北欧斯安银行(SEB)、泰国盘谷银行(Bangkok Bank)等7家国际银行合作,以R3区块链联盟Corda技术开发Voltron贸易融资解决方案,通过区块链技术全面提升信用状交易效率,并预计明年第一季进行客户测试。[2018/11/14]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:31ms0-6:402ms