⚠️ Rất ít người biết rằng website claim airdrop của Monad từng tồn tại lỗ hổng chiếm quyền phiên đăng nhập (session hijacking). Lỗi này không nằm ở smart contract, mà ở tầng web/app, cụ thể là cách site quản lý phiên và gán địa chỉ ví nhận thưởng. Theo @morsyxbt, hacker có thể âm thầm chiếm phiên đăng nhập đang mở của người dùng, rồi đổi ví nhận airdrop sang ví do hacker kiểm soát, mà không cần xác nhận lại chữ ký. Người dùng vẫn tưởng mình claim đúng ví. 📌 Có 2 kiểu thiệt hại chính đã được ghi nhận: Thứ nhất: đánh cắp 1.5 triệu MON. Một địa chỉ duy nhất đã gom airdrop của hơn 56 người, tổng cộng khoảng 1.5 triệu $MON, sau đó xả ra DEX. Đây là chiếm đoạt trực tiếp, quy mô lớn. Thứ hai: lừa bằng ví “vanity” (giống địa chỉ thật). Hacker tạo ví có tiền tố và hậu tố (prefix/suffix) giống ví nạn nhân (ví dụ cùng kết thúc bằng …00cD). Trong khi đó, trang claim của Monad chỉ hiển thị ví dạng rút gọn (kiểu 0x1234…abcd), nên rất nhiều người không nhận ra ví nhận thưởng đã bị đổi. 🫡 Lỗ hổng này đã được những người trong ngành bảo mật, bao gồm founder SlowMist Yu Xian, báo trước từ hơn một tháng trước mainnet, nhưng không được @monad xử lý triệt để hay công bố rộng rãi. Khi người dùng phản ánh, một số phản hồi từ phía team lại quy về việc “ví người dùng bị hack”, trong khi rất nhiều trường hợp có cùng kịch bản mất airdrop – điều này gần như không thể là trùng hợp ngẫu nhiên. 👉 Kết cục, người chịu thiệt là cộng đồng: có người đóng góp nhiều năm cho dự án nhưng đến airdrop thì mất sạch, không do lỗi cá nhân, mà do lỗ hổng hệ thống đáng lẽ không được phép tồn tại.