Solana 用户因隐藏钱包权限被利用而损失 300 万美元

币圈网报道：

最近一起安全事件再次引发了索拉纳生态系统的担忧。一名用户在一次精心设计的网络钓鱼攻击中损失了超过300万美元。此次事件暴露了索拉纳账户结构中一个鲜为人知的风险，并揭示了攻击者如何在签名过程中不留任何痕迹地篡改钱包权限。

攻击者如何利用 Solana 的权限框架

SlowMist报告称，攻击者通过伪造签名请求修改钱包所有者权限，从而控制了该钱包。该交易未显示余额变动，这降低了怀疑程度。

此外，许多Solana用户误以为他们的账户所有权运作方式与以太坊的EOA（有效账户）类似。因此，他们并不认为所有权会因一次签名而改变。这种误解为攻击者提供了可乘之机，他们设计的交易看似无害，实则暗藏高风险。

此外，专家指出：Solana使用多种账户类型，包括普通账户和PDA账户。代币账户的运行遵循其代币计划所强制执行的规则。

这些架构提高了效率，但也为攻击者提供了更多可乘之机。值得注意的是，最近的案例涉及多层权限操控，使得攻击者能够通过多个平台和地址转移资金。

复杂的洗钱路线揭示了不断演变的网络钓鱼手段

MistTrack的调查人员追踪了攻击者的行踪，发现其资金在多个平台上快速周转。资金流向包括跨链循环、中心化交易所（CEX）存款以及去中心化金融（DeFi）资产的再利用。

此外，两大钱包中心处理了大部分转账，这与其他高级洗钱手段类似。受害者还有200万美元被锁定在DeFi平台上。相关协议团队协助追回了这些资产，凸显了快速举报的重要性。

Solana 用户如何降低风险

安全公司强调谨慎。用户应验证网址，确认交易详情，并避免点击未知链接。此外，用户应使用单独的钱包进行高风险活动，并将贵重资产离线存储。同时，用户应避免无限制授权，并仔细审核每一项权限请求。