Monad 空投新闻:会话劫持如何将 150 万枚 MON 发送到黑客钱包?
越来越多的 Monad 用户报告称,由于钱包绑定漏洞将代币重定向到黑客控制的地址,导致空投丢失,这暴露了该项目的领取机制中存在严重的安全漏洞。
Monad空投发生了什么?
期待已久 Monad空投分发 当用户发现尽管成功完成了申领流程,却从未收到分配的 MON 代币时,现场一片混乱。
X(前身为 Twitter)上出现了报道,称在空投活动期间,一些钱包显示了错误的领取地址。
在 SlowMist 创始人 Yuxian (evilcos) 确认存在潜在的会话劫持漏洞后,问题进一步升级。 Monad的官方声明 门户,claim.monad.xyz。
数十名受影响的用户反映,显示为“已连接”的地址并不是他们实际的钱包地址,导致代币被发送到未知的第三方钱包。
来源: Evilcos on X
MON Airdr 如何以及何时 操作 被劫持了?
该漏洞似乎与一个缺陷有关,该缺陷允许攻击者劫持用户在页面上的会话,并在无需任何额外确认的情况下更改绑定声明地址。根据 SlowMist 的披露,即使是硬件钱包用户也未能得到完全保护。
大多数欺诈性重定向发生在重定向之前或期间。 Monad主网将于2025年11月24日上线 当空投分发正式上线时,MON 代币一旦到达被篡改的地址,就会立即被合并到一个由黑客控制的钱包中:
0xde8c91E1033912F184b4ff6a1cC84Bc6eb68602c
来源:Onefly X
哪些账户遭受了损失?
最受关注的受害者是用户@Onefly,他损失了22,206 MON(按每MON 0.03美元计算,约合666美元)。他的OneKey硬件钱包显示“已连接”(绿色),但地址已被秘密替换。
来自 Monadscan 的链上数据显示:
超过 150 万蒙特币被盗刷到黑客地址
已确认的受害者有56人
上线后几分钟内,已有超过 49 笔转账进入系统
预计总损失:约45,000美元
超过 150 万蒙特币被盗刷到黑客地址
已确认的受害者有56人
上线后几分钟内,已有超过 49 笔转账进入系统
预计总损失:约45,000美元
许多受害者在查看浏览器数据后才发现问题,因为欺诈地址在收到被盗空投之前是一个空的、未使用的钱包。
这一切究竟是怎么发生的?
安全研究人员推测,根本原因在于空投前几周的盲签事件——特别是与可疑的去中心化应用(例如“夏记霸大 X402”)的通信。这些事件可能导致:
植入恶意脚本,或
捕获的用户会话
在产品发布前预先策划并修改索赔回应。
用户在不知情的情况下接受了签名,随后攻击者利用这些签名篡改了用户的空投绑定。
植入恶意脚本,或
捕获的用户会话
在产品发布前预先策划并修改索赔回应。
用户在不知情的情况下接受了签名,随后攻击者利用这些签名篡改了用户的空投绑定。
系统中存在哪些漏洞?
无需对具有约束力或可更改的索赔地址进行二次认证。
会话劫持前端漏洞。
没有关于索赔地址修改的日志或警报。
过度使用用户界面显示,甚至会误导硬件钱包用户。
缺乏大规模理赔操作的安全保障措施。
无需对具有约束力或可更改的索赔地址进行二次认证。
会话劫持前端漏洞。
没有关于索赔地址修改的日志或警报。
过度使用用户界面显示,甚至会误导硬件钱包用户。
缺乏大规模理赔操作的安全保障措施。
谁该为此负责?
Monad 尚未进行充分验证,也未能提供地址变更日志。
盲签会给用户带来危险的交易风险。
利用用户行为和系统漏洞的黑客。
像SlowMist这样的专家鼓励Monad审查所有与索赔相关的地址修改历史记录。
Monad 尚未进行充分验证,也未能提供地址变更日志。
盲签会给用户带来危险的交易风险。
利用用户行为和系统漏洞的黑客。
像SlowMist这样的专家鼓励Monad审查所有与索赔相关的地址修改历史记录。
如何防范此类黑客攻击?
务必确保在钱包和 dApp 界面上验证完整的钱包地址。
将实验性 dApp 和空投项目存放在不同的钱包中。
不要盲目签名,尤其是在不熟悉的网站上。
信任硬件钱包并验证原始交易数据。
请将官方网站加入收藏夹,不要通过重定向链接进行交易。
在提出重大索赔之前进行预使用测试交易。
务必确保在钱包和 dApp 界面上验证完整的钱包地址。
将实验性 dApp 和空投项目存放在不同的钱包中。
不要盲目签名,尤其是在不熟悉的网站上。
信任硬件钱包并验证原始交易数据。
请将官方网站加入收藏夹,不要通过重定向链接进行交易。
在提出重大索赔之前进行预使用测试交易。
结论
这凸显了 Web3 安全性的重要性,因为用户和开发人员都需要谨慎行事,即使是官方门户网站也必须经过高度的认真、透明和谨慎的验证,以避免蒙受经济损失。
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
主题测试文章,只做测试使用。发布者:币安赵长鹏,转转请注明出处:https://www.binancememe.com/293583.html
