Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 101Kompromittierung privater Schlüssel

Slope Wallet Seed-Phrase-Leak

~9.231 Solana-Wallets verloren 4,1 Mio. $: Slopes App loggte Seed-Phrasen im Klartext an einen Sentry-Server — per On-Chain-Forensik aufgespürt.

Datum
Opfer
Slope Wallet
Chain(s)
Solana
Status
Mittel entwendet

Ab 22:37 UTC am 2. August 2022 zogen Angreifer rund 9.231 Solana-Wallets etwa 4,1 Millionen Dollar in SOL und SPL-Token über ein vierstündiges Zeitfenster ab. Der Dollarwert war nach Maßstäben von 2022 klein; die Ursache erwies sich als einer der peinlichsten Verwahrungsfehler in Krypto.

Was geschah

Solana-Wallet-Nutzer auf Phantom, Solflare und Slope meldeten alle gleichzeitig Drains. Das Mainnet war nicht kompromittiert. Keine der Wallet-Codebasen enthielt einen offensichtlichen gemeinsamen Bug.

Der Zusammenhang, den On-Chain-Ermittler innerhalb von Stunden aufspürten, war, dass eine deutliche Mehrheit der betroffenen Wallets von Slope Wallet generiert oder irgendwann in Slope Wallet importiert worden war — einen Mobile-Wallet-Anbieter.

Der Bug war außergewöhnlich: Die mobile Slope-App nutzte Sentry als Event-Logging-Dienst und loggte Nutzer-Seed-Phrasen als Teil normaler Event-Telemetrie — sie schickte sie im Klartext an Sentrys zentralisierte Datenbank. Sentrys Speicherung war zugriffsgesteuert, aber nicht auf Feldebene verschlüsselt; jeder mit Zugriff auf den relevanten Sentry-Server konnte auf Anfrage jede Slope-Nutzer-Seed-Phrase lesen.

Der Angreifer erlangte vermutlich diesen Zugang — sei es durch Einbruch in Sentry, Kompromittierung eines Slope-Ingenieurs oder Diebstahl der richtigen API-Anmeldeinformationen — und nutzte die Seed-Phrasen, um Wallets direkt zu leeren.

Nachwirkungen

  • Slope Wallet gab eine Notfall-Empfehlung heraus, in der alle Nutzer aufgefordert wurden, auf frische, außerhalb der Slope-App generierte Seed-Phrasen zu migrieren.
  • Nutzer auf Phantom und Solflare waren betroffen, wenn sie einen Slope-generierten Seed importiert hatten — der Leak lag beim Seed, nicht bei der anzeigenden Wallet.
  • Etwa 1.400 der 9.231 geleerten Wallets wurden direkt in den Sentry-Logs gefunden; die Diskrepanz wurde nie vollständig erklärt.
  • Die Mittel wurden über Cross-Chain-Bridges in Tornado Cash gewaschen.

Warum es zählt

Slope Wallet ist die Fallstudie für Anwendungs-Telemetrie, die ihren Wirkungsradius ignoriert. Logging-Payloads können durch ganz normal aussehende Refactorings von „Diagnose-Metadaten" zu „buchstäblichen Nutzergeheimnissen" abdriften — und in dem Moment, in dem das passiert, wird jedes System, das die Logs berührt, Teil der Trust Boundary der Wallet. Die Standard-Gegenmaßnahmen — explizite Field-Level-Allowlists für Telemetrie, Redaction auf SDK-Ebene, kryptographische Trennung von Geheimnissen und Anwendungsdaten — wurden in den Wochen danach branchenweit wiederholt.

Quellen & On-Chain-Belege

  1. [01]solana.comhttps://solana.com/news/8-2-2022-application-wallet-incident
  2. [02]theblock.cohttps://www.theblock.co/post/161425/slope-wallet-provider-saved-user-seed-phrases-in-plain-text-solana-security-researchers-find
  3. [03]blog.sentry.iohttps://blog.sentry.io/slope-wallet-solana-hack/

Verwandte Einträge