报道:

Monad 空投新闻:会话劫持如何将 150 万枚 MON 发送到黑客钱包?

越来越多的 Monad 用户报告称,由于钱包绑定漏洞将代币重定向到黑客控制的地址,导致空投丢失,这暴露了该项目的领取机制中存在严重的安全漏洞。

Monad空投发生了什么?

期待已久Monad空投分发当用户发现尽管成功完成了申领流程,却从未收到分配的 MON 代币时,现场一片混乱。

X(前身为 Twitter)上出现了报道,称在空投活动期间,一些钱包显示了错误的领取地址。

在 SlowMist 创始人 Yuxian (evilcos) 确认存在潜在的会话劫持漏洞后,问题进一步升级。Monad的官方声明门户,claim.monad.xyz。

数十名受影响的用户反映,显示为“已连接”的地址并不是他们实际的钱包地址,导致代币被发送到未知的第三方钱包。

来源:Evilcos on X

MON Airdr 如何以及何时操作被劫持了?

该漏洞似乎与一个缺陷有关,该缺陷允许攻击者劫持用户在页面上的会话,并在无需任何额外确认的情况下更改绑定声明地址。根据 SlowMist 的披露,即使是硬件钱包用户也未能得到完全保护。

大多数欺诈性重定向发生在重定向之前或期间。Monad主网将于2025年11月24日上线当空投分发正式上线时,MON 代币一旦到达被篡改的地址,就会立即被合并到一个由黑客控制的钱包中:

0xde8c91E1033912F184b4ff6a1cC84Bc6eb68602c

来源:Onefly X

哪些账户遭受了损失?

最受关注的受害者是用户@Onefly,他损失了22,206 MON(按每MON 0.03美元计算,约合666美元)。他的OneKey硬件钱包显示“已连接”(绿色),但地址已被秘密替换。

来自 Monadscan 的链上数据显示:

超过 150 万蒙特币被盗刷到黑客地址

已确认的受害者有56人

上线后几分钟内,已有超过 49 笔转账进入系统

预计总损失:约45,000美元

许多受害者在查看浏览器数据后才发现问题,因为欺诈地址在收到被盗空投之前是一个空的、未使用的钱包。

这一切究竟是怎么发生的?

安全研究人员推测,根本原因在于空投前几周的盲签事件——特别是与可疑的去中心化应用(例如“夏记霸大 X402”)的通信。这些事件可能导致:

植入恶意脚本,或

捕获的用户会话

在产品发布前预先策划并修改索赔回应。

用户在不知情的情况下接受了签名,随后攻击者利用这些签名篡改了用户的空投绑定。

系统中存在哪些漏洞?

无需对具有约束力或可更改的索赔地址进行二次认证。

会话劫持前端漏洞。

没有关于索赔地址修改的日志或警报。

过度使用用户界面显示,甚至会误导硬件钱包用户。

缺乏大规模理赔操作的安全保障措施。

谁该为此负责?

Monad 尚未进行充分验证,也未能提供地址变更日志。

盲签会给用户带来危险的交易风险。

利用用户行为和系统漏洞的黑客。

像SlowMist这样的专家鼓励Monad审查所有与索赔相关的地址修改历史记录。

如何防范此类黑客攻击?

务必确保在钱包和 dApp 界面上验证完整的钱包地址。

将实验性 dApp 和空投项目存放在不同的钱包中。

不要盲目签名,尤其是在不熟悉的网站上。

信任硬件钱包并验证原始交易数据。

请将官方网站加入收藏夹,不要通过重定向链接进行交易。

在提出重大索赔之前进行预使用测试交易。

结论

这凸显了 Web3 安全性的重要性,因为用户和开发人员都需要谨慎行事,即使是官方门户网站也必须经过高度的认真、透明和谨慎的验证,以避免蒙受经济损失。