⚠️ 很少有人知道 Monad 的空投領取網站曾經存在會話劫持漏洞。 這個錯誤不在於智能合約，而在於 Web/應用程序層，具體來說，是網站如何管理會話以及如何分配用於接收獎勵的錢包地址。 據@morsyxbt稱，黑客可以悄無聲息地劫持用戶的登錄會話，然後將空投接收錢包切換到黑客控制的錢包，而無需簽名驗證。用戶仍然會認為自己是從正確的錢包領取的。 📌 已記錄到兩種主要類型的損害： 首先：偷走 150 萬 MON。 一個地址從超過 56 人處收集了總計約 150 萬美元的空投，然後將其拋售到去中心化交易所 (DEX)。這是直接的、大規模的資金挪用。 第二：使用“虛擬”錢包地址（類似於真實地址）的詐騙。 黑客創建了一個與受害者錢包地址前綴和後綴完全相同的錢包地址（例如，都以…00cD結尾）。與此同時，Monad的獎勵領取頁面只顯示了一個提取的錢包地址（例如0x1234…abcd），因此許多人並未意識到他們的獎勵錢包地址已被更改。 🫡 早在主網一個多月前，包括慢霧創始人餘賢在內的安全專家就警告過這個漏洞，但 @monad 並沒有徹底解決或公開披露該漏洞。 當用戶報告該問題時，團隊的一些回應將其歸因於“用戶錢包被盜”，而許多案例都涉及丟失空投的相同情況——這幾乎肯定不是巧合。 👉 最終受苦的是社群：有些人為該項目貢獻了多年，但在空投期間失去了一切，這不是因為個人過錯，而是因為一個本不應該存在的系統缺陷。