慢霧安全預(yù)警：Solana出現(xiàn)惡意合約授權(quán)釣魚事件 可轉(zhuǎn)走用戶全部原生資產(chǎn)

3月5日消息，Solana上出現(xiàn)多起授權(quán)釣魚事件。攻擊者批量給用戶空投 NFT (圖 1) ，用戶通過空投 NFT 描述內(nèi)容里的鏈接 (www_officialsolanarares_net) 進(jìn)入目標(biāo)網(wǎng)站，連接錢包(圖 2)，點(diǎn)擊頁(yè)面上的“Mint”，出現(xiàn)批準(zhǔn)提示框(圖 3)。注意，此時(shí)的批準(zhǔn)提示框并沒有什么特別提示，當(dāng)批準(zhǔn)后，該錢包里的所有 SOL 都會(huì)被轉(zhuǎn)走。當(dāng)點(diǎn)擊“批準(zhǔn)”時(shí)，用戶會(huì)和攻擊者部署的惡意合約交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v 該惡意合約的功能最終就是發(fā)起“SOL Transfer”，將用戶的 SOL 幾乎全部轉(zhuǎn)走。從鏈上信息來看，該釣魚行為已經(jīng)持續(xù)了幾天，中招者在不斷增加。 提醒：1. 惡意合約在用戶批準(zhǔn)(Approve)后，可以轉(zhuǎn)走用戶的原生資產(chǎn)(這里是 SOL)，這點(diǎn)在以太坊上是不可能的，以太坊的授權(quán)釣魚釣不走以太坊的原生資產(chǎn)(ETH)，但可以釣走其上的 Token。于是這里就存在“常識(shí)違背”現(xiàn)象，導(dǎo)致用戶容易掉以輕心。 2. Solana 最知名的錢包 Phantom 在“所見即所簽”安全機(jī)制上存在缺陷(其他錢包沒測(cè)試)，沒有給用戶完備的風(fēng)險(xiǎn)提醒。這非常容易造成安全盲區(qū)，導(dǎo)致用戶丟幣。（慢霧區(qū)）

關(guān)鍵詞： 釣魚事件