Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 101Compromiso de clave privada

Fuga de frases semilla en Slope Wallet

~9.231 billeteras Solana perdieron $4,1M tras que la app Slope Wallet registrara las frases semilla de los usuarios en texto plano en un servidor Sentry.

Fecha
Víctima
Slope Wallet
Cadena(s)
Solana
Estado
Fondos robados

A partir de las 22:37 UTC del 2 de agosto de 2022, los atacantes drenaron aproximadamente 9.231 billeteras Solana por alrededor de $4,1 millones en SOL y tokens SPL durante una ventana de cuatro horas. El valor en dólares fue pequeño para los estándares de 2022; la causa resultó ser uno de los fallos de custodia más vergonzosos en cripto.

Qué ocurrió

Usuarios de billeteras Solana en Phantom, Solflare y Slope reportaron drenajes simultáneos. La mainnet no había sido comprometida. Ninguna de las bases de código de las billeteras contenía un bug compartido obvio.

El enlace, rastreado por investigadores on-chain en cuestión de horas, fue que una mayoría significativa de las billeteras afectadas había sido generada por, o en algún momento importada a, Slope Wallet — un proveedor de billetera móvil.

El bug fue extraordinario: la app móvil Slope usaba Sentry como servicio de registro de eventos, y registraba las frases semilla de los usuarios como parte de la telemetría normal de eventos — enviándolas, en texto plano, a la base de datos centralizada de Sentry. El almacenamiento de Sentry tenía control de acceso pero no estaba cifrado a nivel de campo; cualquier persona con acceso al servidor Sentry relevante podía leer cada frase semilla de cada usuario Slope, bajo demanda.

El atacante presumiblemente obtuvo ese acceso — ya sea vulnerando Sentry, comprometiendo a un ingeniero de Slope, o robando las credenciales API correctas — y usó las frases semilla para drenar billeteras directamente.

Consecuencias

  • Slope Wallet emitió un aviso de emergencia instando a todos los usuarios a migrar a nuevas frases semilla generadas fuera de la app de Slope.
  • Los usuarios de Phantom y Solflare se vieron afectados si habían importado una semilla generada por Slope a esas billeteras — la fuga estaba en la semilla, no en la billetera que la mostraba.
  • Aproximadamente 1.400 de las 9.231 billeteras drenadas se encontraron directamente en los registros de Sentry; la discrepancia nunca se explicó por completo.
  • Los fondos fueron blanqueados a través de puentes cross-chain hacia Tornado Cash.

Por qué importa

Slope Wallet es el caso de estudio para la telemetría de aplicación que ignora su radio de impacto. Los payloads de los registros pueden derivar de "metadatos diagnósticos" a "secretos literales del usuario" mediante refactorizaciones de aspecto perfectamente normal — y en el momento en que lo hacen, cada sistema que toca los registros se convierte en parte del límite de confianza de la billetera. Las mitigaciones estándar — listas de permitidos explícitas a nivel de campo para la telemetría, redacción a nivel de SDK, separación criptográfica de los secretos y los datos de la aplicación — fueron reiteradas a nivel de toda la industria en las semanas siguientes.

Fuentes y evidencia on-chain

  1. [01]solana.comhttps://solana.com/news/8-2-2022-application-wallet-incident
  2. [02]theblock.cohttps://www.theblock.co/post/161425/slope-wallet-provider-saved-user-seed-phrases-in-plain-text-solana-security-researchers-find
  3. [03]blog.sentry.iohttps://blog.sentry.io/slope-wallet-solana-hack/

Registros relacionados