慢雾安全预警：Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产

3月5日消息，Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ，用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站，连接钱包(图 2)，点击页面上的“Mint”，出现批准提示框(图 3)。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。当点击“批准”时，用户会和攻击者部署的恶意合约交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

该恶意合约的功能最终就是发起“SOL Transfer”，将用户的 SOL 几乎全部转走。从链上信息来看，该钓鱼行为已经持续了几天，中招者在不断增加。

提醒：1. 恶意合约在用户批准(Approve)后，可以转走用户的原生资产(这里是 SOL)，这点在以太坊上是不可能的，以太坊的授权钓鱼钓不走以太坊的原生资产(ETH)，但可以钓走其上的 Token。于是这里就存在“常识违背”现象，导致用户容易掉以轻心。

2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。（慢雾区）

慢雾安全预警：Nacos出现远程代码执行漏洞攻击案例，请相关方及时升级:金色财经报道，据慢雾区消息，Nacos 出现远程代码执行漏洞攻击案例。Nacos 是 Alibaba 开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台，帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时，采用 Hessian 进行反序列化，但并未设置限制，导致应用存在远程代码执行（RCE）漏洞。其中，1.4.1 <= Nacos < 1.4.6，使用 cluster 集群模式运行受影响；1.4.0、2.0.0 <= Nacos < 2.2.3，任意模式启动均受到影响。加密货币行业有大量平台采用此方案，请注意风险，并将 Nacos 升级到官方最新新版本。[2023/6/9 21:25:29]

慢雾安全提醒：近期有黑客团伙进行钓鱼攻击 目前已经有部分交易平台遭受攻击:据慢雾区伙伴无极实验室消息，近期有黑客团伙利用 Windows10 的 IE11/Edge Legacy 和 MS Teams 结合 ms-officecmd 的远程代码漏洞进行钓鱼攻击，攻击者通过构造恶意的 exploit 的链接发送给交易平台的内部人员，并诱导内部人员点击恶意的链接，从而控制内部人员的电脑，来实施对交易平台的盗币攻击。目前已经有部分交易平台遭受攻击，请自查是否有访问过如下的链接或 IP 地址。

攻击者相关信息：

链接: https://giantblock[.]org，https://financialtimes365[.]com

C&C: plusinfo24[.]com

IP 地址: 162.213.253.56[2022/2/11 9:45:23]

动态 | 慢雾安全团队发布门罗币攻击严重漏洞预警:慢雾安全团队注意到，门罗币修复新型假充值攻击漏洞，问题出现在钱包处理隐身地址(stealth address)收款的校验机制上。隐身地址是门罗币匿名的关键机制之一，如果使用了这个机制来接收用户的匿名转账，攻击者可以向隐身地址发起恶意构造的重复转账，交易所钱包没对这些重复转账进行正确性校验的话，就可能会导致“假充值”攻击发生，从而造成严重损失。[2018/9/27]

相关资讯