慢霧安全預(yù)警：Solana出現(xiàn)惡意合約授權(quán)釣魚(yú)事件 可轉(zhuǎn)走用戶(hù)全部原生資產(chǎn)

3月5日消息，Solana上出現(xiàn)多起授權(quán)釣魚(yú)事件。攻擊者批量給用戶(hù)空投 NFT (圖 1) ，用戶(hù)通過(guò)空投 NFT 描述內(nèi)容里的鏈接 (www_officialsolanarares_net) 進(jìn)入目標(biāo)網(wǎng)站，連接錢(qián)包(圖 2)，點(diǎn)擊頁(yè)面上的“Mint”，出現(xiàn)批準(zhǔn)提示框(圖 3)。注意，此時(shí)的批準(zhǔn)提示框并沒(méi)有什么特別提示，當(dāng)批準(zhǔn)后，該錢(qián)包里的所有 SOL 都會(huì)被轉(zhuǎn)走。當(dāng)點(diǎn)擊“批準(zhǔn)”時(shí)，用戶(hù)會(huì)和攻擊者部署的惡意合約交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v 該惡意合約的功能最終就是發(fā)起“SOL Transfer”，將用戶(hù)的 SOL 幾乎全部轉(zhuǎn)走。從鏈上信息來(lái)看，該釣魚(yú)行為已經(jīng)持續(xù)了幾天，中招者在不斷增加。 提醒：1. 惡意合約在用戶(hù)批準(zhǔn)(Approve)后，可以轉(zhuǎn)走用戶(hù)的原生資產(chǎn)(這里是 SOL)，這點(diǎn)在以太坊上是不可能的，以太坊的授權(quán)釣魚(yú)釣不走以太坊的原生資產(chǎn)(ETH)，但可以釣走其上的 Token。于是這里就存在“常識(shí)違背”現(xiàn)象，導(dǎo)致用戶(hù)容易掉以輕心。 2. Solana 最知名的錢(qián)包 Phantom 在“所見(jiàn)即所簽”安全機(jī)制上存在缺陷(其他錢(qián)包沒(méi)測(cè)試)，沒(méi)有給用戶(hù)完備的風(fēng)險(xiǎn)提醒。這非常容易造成安全盲區(qū)，導(dǎo)致用戶(hù)丟幣。（慢霧區(qū)）

關(guān)鍵詞： 釣魚(yú)事件