⚠️ 모나드(Monad) 에어드롭 수령 웹사이트에 세션 하이재킹 취약점이 있었다는 사실을 아는 사람은 극히 드뭅니다. 이 결함은 스마트 계약이 아닌 웹/앱 계층, 특히 사이트에서 세션을 관리하고 보상 지갑 주소를 할당하는 방식에 있었습니다. @morsyxbt에 따르면, 해커는 사용자의 로그인 세션을 몰래 하이재킹한 후, 서명 재확인 절차 없이 에어드롭 수령 지갑을 해커가 관리하는 지갑으로 변경할 수 있었습니다. 사용자들은 여전히 자신이 올바른 지갑에서 에어드롭을 수령하고 있다고 생각했습니다. 📌 두 가지 주요 피해 유형이 기록되었습니다. 첫째: 150만 MON 도난 단일 주소가 56명 이상의 사용자로부터 총 약 150만 MON의 에어드롭을 수령한 후, 이를 탈중앙화 거래소(DEX)에 매도했습니다. 이는 직접적이고 대규모의 도난입니다. 둘째: "허용 지갑"(실제 주소와 유사한 지갑)을 이용한 사기 해커는 피해자의 지갑과 접두사와 접미사가 동일한 지갑을 생성했습니다(예: 둘 다 …00cD로 끝남). 하지만 모나드의 보상 청구 페이지에는 단축된 지갑 주소(예: 0x1234…abcd)만 표시되었기 때문에 많은 사용자가 자신의 보상 지갑이 바뀌었다는 사실을 알아차리지 못했습니다. 🫡 이 취약점은 SlowMist 설립자 Yu Xian을 포함한 보안 전문가들이 메인넷 출시 한 달 전에 경고했지만, @monad는 이를 제대로 해결하거나 공개적으로 알리지 않았습니다. 사용자들이 이 문제를 보고했을 때, 일부 팀 답변에서는 "사용자 지갑이 해킹당했다"고 했지만, 많은 사용자는 에어드롭을 받지 못했다는 동일한 시나리오를 경험했습니다. 이는 거의 확실히 우연이 아닐 것입니다. 👉 결국 커뮤니티는 그 결과로 큰 피해를 입었습니다. 수년간 프로젝트에 기여해 온 일부 사용자는 개인적인 실수가 아닌, 애초에 존재해서는 안 될 시스템 취약점 때문에 에어드롭 기간 동안 모든 것을 잃었습니다.