慢雾安全预警：Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产

3月5日消息，Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ，用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站，连接钱包(图 2)，点击页面上的“Mint”，出现批准提示框(图 3)。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。当点击“批准”时，用户会和攻击者部署的恶意合约交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

该恶意合约的功能最终就是发起“SOL Transfer”，将用户的 SOL 几乎全部转走。从链上信息来看，该钓鱼行为已经持续了几天，中招者在不断增加。

提醒：1. 恶意合约在用户批准(Approve)后，可以转走用户的原生资产(这里是 SOL)，这点在以太坊上是不可能的，以太坊的授权钓鱼钓不走以太坊的原生资产(ETH)，但可以钓走其上的 Token。于是这里就存在“常识违背”现象，导致用户容易掉以轻心。

2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。（慢雾区）

慢雾安全提醒：Rabby钱包项目Swap合约存在外部调用风险，请迅速取消授权:金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。

截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。[2022/10/11 10:31:18]

动态 | 慢雾安全团队剖析EOS 合约竞猜类游戏 FFgame 被攻击事件:据慢雾安全团队消息，针对 EOS 合约竞猜类游戏 FFgame 被攻击事件的剖析，慢雾安全团队通过与 FIBOS 创始人响马的交流及复测推测：攻击者通过部署攻击合约并且在合约中使用与 FFgame 相同算法计算随机数，产生随机数后立即在 inline_action 中使用随机数攻击合约，导致中奖结果被“预测”到，从而达到超高中奖率。该攻击者从第一次出现盗币就已经被慢雾监控账户变动，在今日凌晨（11.8 号）已经第一时间将威胁情报同步给相关交易所平台。

慢雾安全团队提醒类似开发者：不要引入可控或可预测随机数种子，任何侥幸都不应该存在。[2018/11/8]

金色独家 慢雾安全团队：有至少6种途径导致 EOS 私钥被盗:针对 EOS 私钥被盗事件，金色财经特邀请慢雾安全团队对此事进行解读，慢雾安全团队表示：EOS 投票关键期频发私钥被盗问题，慢雾安全团队综合 Joinsec Red Team 攻防经验及地下黑客威胁情报分析，可能的被盗途径有：

1、使用了不安全的映射工具，映射使用的公私钥是工具开发者(攻击者)控制的，当 EOS 主网上线后，攻击者随即 updateauth 更新公私钥；

2、映射工具在网络传输时没有使用 SSL 加密，攻击者通过中间人的方式替换了映射使用的公私钥；

3、使用了不安全的 EOS 超级节点投票工具，工具开发者(攻击者)窃取了 EOS 私钥；

4、在不安全的 EOS “主网”、钱包上导入了私钥，攻击者窃取了 EOS 私钥；

5、用户存储私钥的媒介不安全，例如邮箱、备忘录等，可能存在弱口令被攻击者登录窃取到私钥；

6、在手机、电脑上复制私钥时，被恶意软件窃取。

同时，慢雾安全团队提醒用户自查资产，可使用公钥(EOS开头的字符串)在 https://eosflare.io/ 查询关联的账号是否无误，余额是否准确。如果发现异常并确认是被盗了，可参考 EOS 佳能社区 Bean 整理的文档进行操作 https://bihu.com/article/654254[2018/6/14]

相关资讯