慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产

[慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产]3月5日消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ,用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站,连接钱包(图 2),点击页面上的“Mint”,出现批准提示框(图 3)。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有 SOL 都会被转走。当点击“批准”时,用户会和攻击者部署的恶意合约交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

该恶意合约的功能最终就是发起“SOL Transfer”,将用户的 SOL 几乎全部转走。从链上信息来看,该钓鱼行为已经持续了几天,中招者在不断增加。

提醒:1. 恶意合约在用户批准(Approve)后,可以转走用户的原生资产(这里是 SOL),这点在以太坊上是不可能的,以太坊的授权钓鱼钓不走以太坊的原生资产(ETH),但可以钓走其上的 Token。于是这里就存在“常识违背”现象,导致用户容易掉以轻心。

2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。(慢雾区)

慢雾安全提醒:Discord,Telegram频道公告权限设置提醒:据慢雾安全情报,近期存在项目因 Discord 管理账户权限设置问题而造成管理账户被接管,并通过公告频道发布钓鱼链接,导致社区用户遭受损失的事件。在此提醒各位注意添加频道权限设置,管理公告发布,预防仿冒官方人员名称发布公告及网络链接钓鱼问题。[2021/12/24 8:00:42]

声音 | 慢雾安全团队:建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道,针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。[2018/12/19]

声音 | 慢雾安全团队:门罗币不小心创造了一个网络和平世界:据火讯财经报道,慢雾安全团队表示:“门罗币不小心创造了一个网络和平世界,因为其CPU/GPU算力友好,对抗职业矿机(比如ASIC芯片),且门罗是最早的一批,算是匿名币的龙头,地下黑客入侵大量服务器,以前是勒索、窃取机密,现在大规模做CPU挖矿,所发布的典型蠕虫病修补了相关漏洞入口,杀掉了蠕虫对手,安全加固了相关机制,然后它仅挖矿,不少企业入侵事件的发现不是因为发现蠕虫,而是发现服务器或主机卡了,这些蠕虫挖的主要就是门罗。”[2018/7/3]

郑重声明: 慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

  • 日本希望阻止受制裁的俄罗斯实体转移加密资产

    [2022-3-7 13:41:29]金色财经报道,随着世界各地的金融当局继续针对受制裁的俄罗斯实体,日本金融厅 (FSA) 和日本虚拟和加密资产交易所协会表示,他们正试图找到阻止被列入黑名单的俄罗斯实体通过使用加密货币逃避制裁的方法。在东京对包括该国总...

  • Evmos宣布暂停网络运行数天,将发布事后分析报告

    [2022-3-8 13:44:47]3月8日消息,Cosmos EVM网络Evmos发推称,根据社区反馈,Evmos至少在接下来的几天内不会上线。团队正在针对此事件进行内部审查,很快将会公布结果。 据昨日报道,Cosmos EVM网络Evmo...

  • 报告:纽约市民无法交易NYCCoin

    [2022-3-6 13:40:03]3月5日消息,纽约人无法购买或出售NewYorkCityCoin(NYCCoin)。根据彭博社报告,项目开发商CityCoins在2021年11月受到启发,在纽约市长埃里克·亚当斯发誓要使该市成为 \"加密货币行业的...

  • 在gem上买卖LooksRare的NFT可以赚取Looks奖励

    [2022-3-8 13:43:57]3月8日消息,gem宣布新功能,在gem上买卖LooksRare的NFT可以赚取Looks交易奖励。 匿名买家在Gem平台斥资862 ETH批量购买9只BAYC NFT:金色财经消息,据Etherscan数据...

  • 加密货币总市值降至1.83万亿美元

    [2022-3-5 13:39:19]金色财经报道,据CoinGecko数据显示,当前加密货币市值为1.83万亿美元,24小时交易量为93,239,189,477美元,当前比特币市值占比为40.63%,以太坊市值占比为17.17%。 日本和新加坡...

  • 慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产

    [2022-3-5 13:39:42]3月5日消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ,用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站,连接钱包...

  • 韩国总统候选人尹锡悦计划发行超过22000个NFT

    [2022-3-7 13:42:19]金色财经报道,韩国3月9日总统大选的保守派候选人尹锡烈(Yoon Suk-yeol)周一发行了以自己的图像和视频为特色的NFT,试图在竞选的最后阶段影响年轻选民。 Yoon在Aergo区块链上铸造了至少4,...

  • 今日恐慌与贪婪指数为22,等级为极度恐慌

    [2022-3-6 13:40:15]3月6日消息,今日恐慌与贪婪指数为22(昨日为22),恐慌程度不变,等级为极度恐慌。注:恐慌指数阈值为0-100,包含指标:波动性(25%)+市场交易量(25%)+社交媒体热度(15%)+市场调查(15%)+比特币在...

  • 俄乌谈判乌方代表团成员:乌方不会再致力于提交加入北约的申请

    [2022-3-7 13:41:05]3月7日消息,俄乌谈判乌方代表团成员、乌克兰人民公仆党议会党团主席阿拉哈米亚当地时间6日表示,未来5到10年间,北约并不准备讨论乌克兰加入该组织这一问题。他表示,乌方不会再致力于提交加入北约的申请,而是将讨论某种“非...

  • Glassnode数据:自去年7月以来,大多数交易所BTC流出量大于流入量

    [2022-3-8 13:44:15]3月8日消息,Glassnode数据显示,自去年7月以来,除Binance、FTX、Bittrex和Bitfinex外,大多数交易所的比特币流出量大于流入量。所有加密货币交易所总共净流出46000枚比特币(按当前价格...

  • DeFi衍生品协议ApeX将于3月8日16时开启ApeX NFT公售

    [2022-3-8 13:44:33]据官方消息,DeFi衍生品协议ApeX将于北京时间3月8日16时发售ApeX NFT。ApeX NFT是ApeX发行的一系列带有其平台治理代币认购权益和未来ApeX loyalty program内VIP用户权益证明...

银河链

加密货币餐饮团购低价竞争不可持续

最近,各大网络餐饮平台出现了不少低价团购“大餐”活动。“1元吃甜品”“99元吃8个菜”吸引了许多消费者尝鲜,但到店后的真实体验却不尽如人意.

[0:0ms0-1:751ms