3月5日消息,Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投NFT (圖1) ,用戶通過空投NFT 描述內容裡的鏈接(www_officialsolanarares_net) 進入目標網站,連接錢包(圖2),點擊頁面上的“Mint”,出現批准提示框(圖3)。注意,此時的批准提示框並沒有什麼特別提示,當批准後,該錢包裡的所有SOL 都會被轉走。當點擊“批准”時,用戶會和攻擊者部署的惡意合約交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v 該惡意合約的功能最終就是發起“SOL Transfer”,將用戶的SOL 幾乎全部轉走。從鏈上信息來看,該釣魚行為已經持續了幾天,中招者在不斷增加。提醒:1. 惡意合約在用戶批准(Approve)後,可以轉走用戶的原生資產(這裡是SOL),這點在以太坊上是不可能的,以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其上的Token。於是這裡就存在“常識違背”現象,導致用戶容易掉以輕心。 2. Solana 最知名的錢包Phantom 在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。