⚠️ 很少有人知道 Monad 的空投领取网站曾经存在会话劫持漏洞。 这个错误不在于智能合约，而在于 Web/应用程序层，具体来说，是网站如何管理会话以及如何分配用于接收奖励的钱包地址。 据@morsyxbt称，黑客可以悄无声息地劫持用户的登录会话，然后将空投接收钱包切换到黑客控制的钱包，而无需签名验证。用户仍然会认为自己是从正确的钱包领取的。 📌 已记录到两种主要类型的损害： 首先：偷走 150 万 MON。 一个地址从超过 56 人处收集了总计约 150 万美元的空投，然后将其抛售到去中心化交易所 (DEX)。这是直接的、大规模的资金挪用。 第二：使用“虚拟”钱包地址（类似于真实地址）的诈骗。 黑客创建了一个与受害者钱包地址前缀和后缀完全相同的钱包地址（例如，都以…00cD结尾）。与此同时，Monad的奖励领取页面只显示了一个提取的钱包地址（例如0x1234…abcd），因此许多人并未意识到他们的奖励钱包地址已被更改。 🫡 早在主网一个多月前，包括慢雾创始人余贤在内的安全专家就警告过这个漏洞，但 @monad 并没有彻底解决或公开披露该漏洞。 当用户报告该问题时，团队的一些回应将其归因于“用户钱包被盗”，而许多案例都涉及丢失空投的相同情况——这几乎肯定不是巧合。 👉 最终受苦的是社群：有些人为该项目贡献了多年，但在空投期间失去了一切，这不是因为个人过错，而是因为一个本不应该存在的系统缺陷。