PANews 3月5日消息,據慢霧區情報,Solana上出現多起授權釣魚事件。攻擊者批量向用戶空投NFT,用戶通過空投NFT描述內容裡的鏈接進入目標網站,連接錢包並點擊頁面上的“Mint”,隨後會出現批准提示框。一旦獲得批准,該錢包裡的所有SOL都會被轉走。該惡意合約的功能就是發起“SOL Transfer”,將用戶的SOL幾乎全部轉走。從鏈上信息來看,該釣魚行為已經持續了幾天,中招者在不斷增加。
慢霧提醒:1. 惡意合約在用戶批准(Approve)後,可以轉走用戶的原生資產(這裡是SOL),這點在以太坊上是不可能的,以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其上的代幣。於是這裡就存在“常識違背”現象,導致用戶容易掉以輕心。 2. Solana最知名的錢包Phantom 在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。