Equipo de seguridad: hay una fuga de clave privada en el servicio centinela de Slope Wallet (Android, versión: 2.2.2)

[Equipo de seguridad: Slope Wallet (Android, versión: 2.2.2) el servicio centinela tiene una fuga de clave privada] El 4 de agosto, SlowMist publicó un análisis del incidente del ataque a Solana. Según los datos proporcionados por la Fundación Solana, los usuarios robados Alrededor del 60% usa Phantom, alrededor del 30% usa Slope y el resto usa Trust Wallet, Coin98 Wallet, etc. IOS y Android no se salvan.

Al analizar Slope Wallet (Android, Versión: 2.2.2), se encuentra que utiliza el servicio de centinela. Sentry es un servicio ampliamente utilizado que se ejecuta en "o7e.slope[.]finance". El servicio de Sentry recopila datos confidenciales, como palabras mnemotécnicas y claves privadas de la billetera Slope, y los envía a https://o7e.slope[.]finance/api/4/envelope/ al crear la billetera y encuentra la Versión: La El servicio centinela en el paquete >=2.2.0 recopilará palabras mnemotécnicas y las enviará a "o7e.slope[.]finance", mientras que la Versión: 2.1.3 no encuentra ningún comportamiento obvio de recopilación de palabras mnemotécnicas o claves privadas. Slope Wallet (Android, >= Versión: 2.2.0) se lanzó después del 24/06/2022, por lo que los usuarios de Slope después de esa fecha se ven afectados.

Para el otro 60% de los usuarios que usan Phantom Wallet, después de analizar la billetera Phantom (versión: 22.07.11_65), se encuentra que Phantom (Android, versión: 22.07.11_65) también usa el servicio centinela para recopilar información del usuario, pero hasta ahora no se han encontrado ayudas obvias para la recopilación El acto de memorizar palabras o claves privadas.

Otras noticias:

Equipo de seguridad: 3DCion ha caído más del 92 %, manténgase alerta: Jinse Finance News, según el monitoreo de datos de CertiK Alert, el token del proyecto @3DCoin_io 3DC ha caído más del 92 % y la dirección es 0x42d170aabd301026a16807da851dad54f7c86670, manténgase alerta . [2022/8/23 12:42:20]

Equipo de seguridad: Rug Pull ocurrió en el proyecto MOC: Jinse Finance News, según el equipo de seguridad de CertiK, a las 05:30 p. m. del 21 de julio de 2022, hora de Beijing, el precio de los tokens MOC cayó aproximadamente un 80 %. Después de la investigación, el equipo de seguridad de CertiK ha confirmado que el proyecto MOC es un proyecto fraudulento. El proyecto eliminó la liquidez agregada previamente del grupo de emparejamiento, lo que resultó en una caída significativa de la liquidez en el grupo y la posterior venta de tokens MOC. Los tokens MOC eliminados se acuñaron cuando se implementó el contrato inteligente MOC. El valor de los BUSD eliminados fue de aproximadamente $78,000. [2022/7/22 2:30:01]

Equipo de seguridad: la discordia de SeaHorseArmyNFT fue pirateada: noticias del 9 de mayo, el sistema de alarma BlockSec descubrió que la discordia de SeaHorseArmyNFT fue pirateada a las 10:20 a. m. del 9 de mayo, y los atacantes están difundiendo enlaces de menta falsos avanzados, invierta O no haga clic en enlaces de menta falsos. [2022/5/9 3:00:05]