目录
还没结束，我还想特别提⼀种⻛险：反常识⻛险。

什么是反常识，⽐如你已经特别熟悉以太坊了，各种 DeFi、NFT 玩得⼩⽩们直呼你⼤佬。此时你去玩 Solana，同样也遇到了各种钓⻥⽹站，你可不畏惧，轻蔑⼀笑：“这些在以太坊系列⽣态⾥都麻了，我怎么可能上当？”

不好意思，⿊客笑了，你确实上当了。因为出现了个反常识流程，⼈都是有惯性或惰性，这导致你⼤意了，没有闪。

好，让我们来看看这个反常识真实案例。

2022.3.5，⼀个安全预警：Solana 上的授权钓⻥残忍多了，攻击者批量给⽤户空投 NFT(图 1) ，⽤户通过空投 NFT 描述内容⾥的链接(www_officialsolanarares_net)进⼊⽬标⽹站，连接钱包，点击⻚⾯上的“Mint”，出现批准提示框。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包⾥的所有 SOL 都会被转⾛。

当点击“批准”时，⽤户会和攻击者部署的恶意合约交互： 

该恶意合约的功能最终就是发起“SOL Transfer”，将⽤户的 SOL ⼏乎全部转⾛。从链上信息来看，该钓⻥⾏为已经持续了⼏天，中招者在不断增加。
 

这⾥⾯有两个坑，需要注意的：

1. 恶意合约在⽤户批准(Approve)后，可以转⾛⽤户的原⽣资产(这⾥是 SOL)，这点在以太坊上是不可能的，以太坊的授权钓⻥钓不⾛以太坊的原⽣资产(ETH)，但可以钓⾛其上的 Token。于是这⾥就存在“常识违背”现象，导致⽤户容易掉以轻⼼。 

2. Solana 最知名的钱包 Phantom 在“所⻅即所签”安全机制上存在缺陷(其他钱包没测试)，没有给⽤户完备的⻛险提醒。这⾮常容易造成安全盲区，导致⽤户丢币。

返回目录     下一篇

#区块链个人安全黑手册 #比特币 #区块链安全