Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 101Compromission de clé privée

Fuite de phrases mnémoniques Slope Wallet

~9 231 wallets Solana ont perdu 4,1 M$ après que Slope Wallet a journalisé les seed phrases en clair sur un serveur Sentry, tracé via forensique on-chain.

Date
Victime
Slope Wallet
Chaîne(s)
Solana
Statut
Fonds dérobés

À partir de 22h37 UTC le 2 août 2022, des attaquants ont drainé environ 9 231 portefeuilles Solana d'environ 4,1 millions de dollars en SOL et jetons SPL sur une fenêtre de quatre heures. La valeur en dollars était modeste pour 2022 ; la cause s'est révélée être l'un des échecs de garde les plus embarrassants de la crypto.

Ce qui s'est passé

Les utilisateurs de portefeuilles Solana sur Phantom, Solflare et Slope ont tous signalé des drainages simultanés. Le mainnet n'avait pas été compromis. Aucune des bases de code des portefeuilles ne contenait de bug commun évident.

Le lien, tracé par les enquêteurs on-chain en quelques heures, était qu'une majorité significative des portefeuilles affectés avaient été générés par, ou à un moment importés dans, Slope Wallet — un fournisseur de portefeuille mobile.

Le bug était extraordinaire : l'application mobile Slope utilisait Sentry comme service de journalisation d'événements, et journalisait les seed phrases utilisateurs dans le cadre de la télémétrie d'événements normale — les envoyant, en clair, vers la base de données centralisée de Sentry. Le stockage de Sentry était contrôlé en accès mais pas chiffré au niveau du champ ; quiconque avait accès au serveur Sentry pertinent pouvait lire la seed phrase de chaque utilisateur Slope, à la demande.

L'attaquant a vraisemblablement obtenu cet accès — que ce soit en compromettant Sentry, en compromettant un ingénieur Slope ou en volant les bonnes credentials API — et utilisé les seed phrases pour drainer les portefeuilles directement.

Conséquences

  • Slope Wallet a émis un avis d'urgence pressant tous les utilisateurs de migrer vers de nouvelles seed phrases générées en dehors de l'app Slope.
  • Les utilisateurs sur Phantom et Solflare ont été affectés s'ils avaient importé une seed générée par Slope dans ces portefeuilles — la fuite était à la seed, pas au portefeuille qui l'affichait.
  • Environ 1 400 des 9 231 portefeuilles drainés ont été trouvés directement dans les logs Sentry ; l'écart n'a jamais été pleinement expliqué.
  • Les fonds ont été blanchis via des ponts cross-chain vers Tornado Cash.

Pourquoi c'est important

Slope Wallet est l'étude de cas de télémétrie applicative qui ignore son rayon d'impact. Les payloads de journalisation peuvent dériver de « métadonnées de diagnostic » vers « secrets utilisateur littéraux » via des refactorings parfaitement normaux — et dès que c'est le cas, tout système touchant les logs fait partie de la frontière de confiance du portefeuille. Les mitigations standard — allowlists explicites au niveau du champ pour la télémétrie, masquage au niveau du SDK, séparation cryptographique des secrets et des données applicatives — ont toutes été rappelées à l'échelle de l'industrie dans les semaines suivantes.

Sources & preuves on-chain

  1. [01]solana.comhttps://solana.com/news/8-2-2022-application-wallet-incident
  2. [02]theblock.cohttps://www.theblock.co/post/161425/slope-wallet-provider-saved-user-seed-phrases-in-plain-text-solana-security-researchers-find
  3. [03]blog.sentry.iohttps://blog.sentry.io/slope-wallet-solana-hack/

Dépôts liés