menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

快訊

慢霧安全預警:Solana出現惡意合約授權釣魚事件 可轉走用戶全部原生資產

金色財經 2022-03-06 00:00


3月5日消息,Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投 NFT (圖 1) ,用戶通過空投 NFT 描述內容里的鏈接 (www_officialsolanarares_net) 進入目標網站,連接錢包(圖 2),點擊頁面上的「Mint」,出現批准提示框(圖 3)。注意,此時的批准提示框並沒有什麼特別提示,當批准後,該錢包里的所有 SOL 都會被轉走。當點擊「批准」時,用戶會和攻擊者部署的惡意合約交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v 該惡意合約的功能最終就是發起「SOL Transfer」,將用戶的 SOL 幾乎全部轉走。從鏈上資訊來看,該釣魚行為已經持續了幾天,中招者在不斷增加。 提醒:1. 惡意合約在用戶批准(Approve)後,可以轉走用戶的原生資產(這裡是 SOL),這點在以太坊上是不可能的,以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其上的 Token。於是這裡就存在「常識違背」現象,導致用戶容易掉以輕心。 2. Solana 最知名的錢包 Phantom 在「所見即所簽」安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。(慢霧區)

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠


Empty