[慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产]3月5日消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ,用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站,连接钱包(图 2),点击页面上的“Mint”,出现批准提示框(图 3)。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有 SOL 都会被转走。当点击“批准”时,用户会和攻击者部署的恶意合约交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
该恶意合约的功能最终就是发起“SOL Transfer”,将用户的 SOL 几乎全部转走。从链上信息来看,该钓鱼行为已经持续了几天,中招者在不断增加。
提醒:1. 恶意合约在用户批准(Approve)后,可以转走用户的原生资产(这里是 SOL),这点在以太坊上是不可能的,以太坊的授权钓鱼钓不走以太坊的原生资产(ETH),但可以钓走其上的 Token。于是这里就存在“常识违背”现象,导致用户容易掉以轻心。
2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。(慢雾区)
慢雾安全:警惕Big Data Protocol合约相关风险:据慢雾区消息,知名DeFi项目Big Data Protocol因项目自身代码Bug出现无法正常领取奖励的问题。经慢雾安全团队分析,此问题系Big Data Protocol的BDP代币合约在mint函数中对seePoolAmount变量做了错误的校验,导致合约功能无法正常执行。目前合约用户只能通过紧急提现函数对资金进行提现。但紧急提现函数无法同时提现挖矿收益。
慢雾安全团队提醒用户注意Big Data Protocol合约风险,如有参与,可通过emergency Withdraw函数将资金安全取出。[2021/3/12 18:40:04]
动态 | 慢雾安全团队剖析EOS 合约竞猜类游戏 FFgame 被攻击事件:据慢雾安全团队消息,针对 EOS 合约竞猜类游戏 FFgame 被攻击事件的剖析,慢雾安全团队通过与 FIBOS 创始人响马的交流及复测推测:攻击者通过部署攻击合约并且在合约中使用与 FFgame 相同算法计算随机数,产生随机数后立即在 inline_action 中使用随机数攻击合约,导致中奖结果被“预测”到,从而达到超高中奖率。该攻击者从第一次出现盗币就已经被慢雾监控账户变动,在今日凌晨(11.8 号)已经第一时间将威胁情报同步给相关交易所平台。
慢雾安全团队提醒类似开发者:不要引入可控或可预测随机数种子,任何侥幸都不应该存在。[2018/11/8]
声音 | 慢雾安全团队:区块链技术本身存在安全缺陷 可参考以太坊漏洞赏金计划实现安全:据火讯财经报道,慢雾安全团队表示,区块链技术本身存在安全缺陷,研究区块链安全的可以参考以太坊漏洞赏金计划实现安全,包括:1. 客户端协议实现安全;2. 网络安全;3. 节点安全;4. 客户端应用安全;5. 算法使用安全;6. Solidity 语言安全;7. ENS 安全。[2018/7/2]
郑重声明: 慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。