慢雾创始人余弦近日在推特上发布重要安全提醒,呼吁用户立即检查此前在 Monad 空投领取页面所绑定的钱包地址是否为自己预期的地址。如果发现绑定的地址并非本人所有,则可能意味着该地址已被黑客篡改为黑客控制的地址,导致本应属于用户的空投资产被官方错误发放至黑客钱包。
此前已有白帽安全研究人员披露过一个相关漏洞,该漏洞具备一定的前置触发条件:当用户在 Monad 空投领取页面的会话被黑客劫持后,攻击者可在无需进一步验证的情况下,直接修改领取空投的钱包地址,从而窃取用户应得的空投资产。
对投资者的影响:
1. 资产安全风险显著增加,用户需立即自查绑定地址;
2. 暴露项目方在合约与前端交互设计中的安全缺陷;
3. 可能影响市场对新兴公链生态安全性的信任;
4. 提醒投资者在参与空投等链上活动时需加强安全验证。