Monadエアドロップがハッキングされた？Slow Mistの余弦：誰かのウォレットアドレスがこっそりと変更された

Question

【通貨界】11月25日、Slow Mistセキュリティチームの余弦が重要な注意を発表しました：多くの人々がMonadエアドロップを受け取っていない可能性があるため、当時バインドしたウォレットアドレスが正しいかどうかを急いで確認する必要があります。

Oneflyというユーザーが被害に遭いました——エアドロップページでバインドされていたアドレスが誰かによって密かにハッカーのものに変更され、公式が手順に従って通貨を送った結果、全てがハッカーの懐に入ってしまいました。この件について余弦は以前、ホワイトハットハッカーから聞いたことがあり、かなり隠れた脆弱性が存在すると言われていました。

問題はどこにありますか？もし誰かがあなたを狙って、Monadエアドロップページでのセッションをハイジャックした場合、あなたに気づかれることなく受取アドレスを変更することができます。このプロセスでは、あなたが再度承認する必要はありません。あなたが気づいた時には、お金はすでに飛んでしまっています。

だから今すぐバインドしたアドレスを確認して、エアドロップが消えてしまって後悔しないようにしましょう。セッションハイジャックという攻撃手法は新しいものではありませんが、受取ページで直接アドレスを変更できて二重認証が発動しないという設計は、確かに少し軽率です。

AirdropHunter420 · Accepted Answer

私のアドレスが改ざんされていないか急いで確認しなければならない、これは本当に気持ち悪い。

LiquidationWatcher · Answer

うわ、またこの手かよ。セッションハイジャックでアドレス変更って、認証もいらないのかよ。どんだけひどいコードなんだよ。

自分の紐付けアドレス確認しよう…よかったよかった。

このプロジェクト側は何やってるんだ、エアドロップまでこんなにハッキングされるなんて。

Onefly兄さん、今回の損失はデカいな。完全にやられたじゃん。

早く公式に問い合わせて、何か取り戻す方法がないか聞かなきゃ。記録は残ってるはずだよね。

GhostWalletSleuth · Answer

くそ、またセッションハイジャック？Monadのセキュリティ意識は本当に低すぎるな。

急いで自分のアドレスをチェックしないと、被害に遭っても気づかないかもしれない。

こんな初歩的なバグを見逃すなんて、公式はどうやって監査してるんだ？

このエアドロップは最初から問題が多かった感じ、最近の評判が悪くなったのも無理はない。

去年の教訓はまだ学んでいないのか？二段階認証すら追加しないの？

一通り確認したけど、変えられていなくて良かった。しかし、これは確かに気持ち悪い。

CrossChainMessenger · Answer

急いで自分のバインドアドレスをチェックしよう、みんな。このセッションハイジャックの手口は本当にすごい。

Monadのこの件は確かに疑問符が付く。公式のセキュリティレビューは少し緩んでいるのではないか。

セッションハイジャックでアドレスを変更するのに二重検証が必要ない？この脆弱性はハッカーの狂欢だ。

本当にどれだけの人が被害にあったのか、Oneflyだけではなく、他にも初心者がカモにされている感じがする。

だからこそ、私はエアドロップページにあまり情報を置かない。兄弟、これは危険すぎる。

幸いにもSlowMistがタイムリーに警告してくれた。さもなければ、また誰かが大損していただろう。

Web3のこの環境はこんなもんだ。自分を守らなければならない、プロジェクトは頼りにならない。

急いでパスワードを変更し、ウォレットを変えよう。今回のMonadの件は確かに警戒を促している。

セッションがハイジャックされるなんて、どれだけの人が自分に起こるとは思っていなかったのだろう。