安全機構慢霧(SlowMist)創辦人餘弦(Cos)在社群平台發文提醒,部分用戶的空投領取地址可能已遭黑客竄改,導致空投最終被發放至駭客控制的錢包。
駭客更改申領地址
餘弦指出,建議所有參與 Monad 空投的用戶,立即回到此前的空投領取頁面 claim.monad.xyz,確認當初綁定的地址是否為自己預期的錢包;若不是,則可能是綁定地址已遭駭客替換,空投最終將被發送到駭客錢包,而非用戶本人。目前已有不少用戶反應此問題,且根據鏈上數據顯示,某個已確認屬於駭客的地址已經接收到了 150 萬顆 MON,價值約五萬美金。
疑似存在前置條件漏洞
餘弦表示,過去曾有白帽向他同步類似漏洞,該漏洞具有特定前置條件:若攻擊者在用戶操作空投領取頁面時取得其會話控制權,便可能在無需額外確認的情況下,將空投綁定地址替換成駭客地址。
目前尚不確定 Onefly 是否遭遇相同手法攻擊,但從其提供的資訊顯示,他原本設定的所有領取地址最終「全部轉成了同一個陌生地址」,顯示高機率為惡意竄改。
餘弦建議 Monad 團隊盡快參與調查,並檢查相關後台紀錄,包括:
- 空投領取綁定地址修改日誌
- 領取流程是否存在未受保護的會話控制
- 是否有批量地址被替換的跡象
他強調,這類安全事件一旦發生,受影響用戶往往難以追回空投,因此官方必須盡速確認漏洞是否存在並發布公告。
