慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产

[慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产]3月5日消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ,用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站,连接钱包(图 2),点击页面上的“Mint”,出现批准提示框(图 3)。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有 SOL 都会被转走。当点击“批准”时,用户会和攻击者部署的恶意合约交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

该恶意合约的功能最终就是发起“SOL Transfer”,将用户的 SOL 几乎全部转走。从链上信息来看,该钓鱼行为已经持续了几天,中招者在不断增加。

提醒:1. 恶意合约在用户批准(Approve)后,可以转走用户的原生资产(这里是 SOL),这点在以太坊上是不可能的,以太坊的授权钓鱼钓不走以太坊的原生资产(ETH),但可以钓走其上的 Token。于是这里就存在“常识违背”现象,导致用户容易掉以轻心。

2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。(慢雾区)

慢雾安全:警惕Big Data Protocol合约相关风险:据慢雾区消息,知名DeFi项目Big Data Protocol因项目自身代码Bug出现无法正常领取奖励的问题。经慢雾安全团队分析,此问题系Big Data Protocol的BDP代币合约在mint函数中对seePoolAmount变量做了错误的校验,导致合约功能无法正常执行。目前合约用户只能通过紧急提现函数对资金进行提现。但紧急提现函数无法同时提现挖矿收益。

慢雾安全团队提醒用户注意Big Data Protocol合约风险,如有参与,可通过emergency Withdraw函数将资金安全取出。[2021/3/12 18:40:04]

动态 | 慢雾安全团队剖析EOS 合约竞猜类游戏 FFgame 被攻击事件:据慢雾安全团队消息,针对 EOS 合约竞猜类游戏 FFgame 被攻击事件的剖析,慢雾安全团队通过与 FIBOS 创始人响马的交流及复测推测:攻击者通过部署攻击合约并且在合约中使用与 FFgame 相同算法计算随机数,产生随机数后立即在 inline_action 中使用随机数攻击合约,导致中奖结果被“预测”到,从而达到超高中奖率。该攻击者从第一次出现盗币就已经被慢雾监控账户变动,在今日凌晨(11.8 号)已经第一时间将威胁情报同步给相关交易所平台。

慢雾安全团队提醒类似开发者:不要引入可控或可预测随机数种子,任何侥幸都不应该存在。[2018/11/8]

声音 | 慢雾安全团队:区块链技术本身存在安全缺陷 可参考以太坊漏洞赏金计划实现安全:据火讯财经报道,慢雾安全团队表示,区块链技术本身存在安全缺陷,研究区块链安全的可以参考以太坊漏洞赏金计划实现安全,包括:1. 客户端协议实现安全;2. 网络安全;3. 节点安全;4. 客户端应用安全;5. 算法使用安全;6. Solidity 语言安全;7. ENS 安全。[2018/7/2]

郑重声明: 慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

  • 流动性质押协议pSTAKE已通过IBC接入Cosmos生态

    [2022-3-9 13:46:43]3月9日消息,流动性质押协议pSTAKE宣布已经通过Cosmos的互操作协议IBC正式接入Cosmos生态,用户可以通过转接桥将ERC20形式的PSTAKE从以太坊转移至Cosmos的Persistence Hub。...

  • Polygon Studios与ArcadeNetwork达成战略合作伙伴关系

    [2022-3-5 13:39:45]3月5日消息,Polygon Studios 宣布与元宇宙互操作平台 ArcadeNetwork 达成战略合作伙伴关系,双方将共同探索技术融合的可能性,推动 GameFi 发展,共同为元宇宙生态的成长和互操作性做出贡...

  • 长江新世纪推出国内出版业首个NFT

    [2022-3-8 13:44:05]3月8日消息,昨日,北京长江新世纪文化传媒有限公司联合火链科技,打造的出版业首个NFT (非同质代币) 数字藏品面世。长江新世纪相关负责人表示,长江新世纪创新跨足数字领域,发行珍藏数字藏品“贰拾年光阴的故事”,旨在打...

  • 欧盟对俄罗斯和白俄罗斯的制裁扩大到加密货币领域

    [2022-3-9 13:47:09]3月9日消息,欧盟(EU)澄清说,对俄罗斯和白俄罗斯的制裁延伸至加密资产。欧盟表示,加密资产属于“可转让证券”类别,因此明确包含在制裁范围内。制裁内容包括限制向三家白俄罗斯银行及其子公司提供 SWIFT 服务、禁止与...

  • 新加坡男子冒充Riot Games联合创始人,购买超过500万美元的云服务用于加密挖矿

    [2022-3-7 13:43:10]3月7日消息,一名新加坡欺诈者帮助暗网用户伪造美国驾照,作为交换,他获得大约70人的信用卡信息和个人资料。这份名单包括Riot Games联合创始人Marc Merrill。拳头游戏(Riot Games)是英雄联盟...

  • 慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产

    [2022-3-5 13:39:42]3月5日消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ,用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站,连接钱包...

  • 作家陈根:少谈元宇宙,加快发展数字孪生技术

    [2022-3-6 13:40:44]金色财经报道,科幻作家陈根表示,在当下,如果关注元宇宙这个方向,真正思考元宇宙产业趋势,就应该重点关注数字孪生技术。其实简单的说,就是今天没有元宇宙这个概念,基于当前的产业技术,也就是基于数字孪生技术,以及可穿戴设备...

  • FilDA 发起跨链 Elastos Smart Chain 网络提案

    [2022-3-7 13:42:42]据官方消息,FilDA 发起跨链 Elastos Smart Chain 网络提案,将由社区成员投票决定是否开启该链的跨链服务。据悉,若投票通过,FilDA 计划启动初期将围绕 ELA、BTC、ETH、HUSD 等资...

  • 固定利率协议Anchor Protocol提醒用户注意虚假广告

    [2022-3-5 13:39:37]3月5日消息,固定利率协议Anchor Protocol发推提醒用户注意Google网页上的虚假广告。据悉,此虚假广告是一个虚假的Anchor Protocol网站。 Filecoin网络将于10月26日进行...

  • 马化腾:随着元宇宙概念兴起,局部领域出现投机炒作

    [2022-3-5 13:39:06]金色财经报道,今年两会,全国人大代表、腾讯公司董事会主席马化腾提到,随着“元宇宙”、NFT(非同质化代币)、Web3等新概念的兴起,局部领域出现投机炒作、避实就虚的现象,带来金融、技术和社会治理等领域的新风险隐患。他...

  • veDAO:Solidly合约并未关闭,Solidex将继续维护SolidlyUI

    [2022-3-7 13:41:23]3月7日消息,FTM生态项目veDAO发推文称:我们通过AndreCronje(AC)相关公告得知Solidly前端关闭的消息,并正在与合作伙伴联系以协调响应。我们需要召集所有负责人一起计划一些行动,但请记住,这些是...

金宝趣谈

[0:0ms0-10:676ms