Edgen Crypto·Nov 25 2025, 13:10Monad 空投申領門戶中存在的嚴重安全漏洞,導致攻擊者盜用用戶資金。該漏洞被確定為會話劫持問題,使惡意行為者能夠將代幣分配重定向到他們自己的錢包,導致至少一名用戶遭受重大財務損失,並給該項目即將到來的主網發布蒙上陰影。
Monad 區塊鏈最近的空投因其代幣申領門戶中存在的嚴重安全漏洞而受到嚴重影響。該漏洞允許攻擊者劫持用戶會話並將分配的 MON 代幣重定向到他們自己的錢包。此次攻擊導致參與者遭受了真實的經濟損失,其中最引人注目的是一位空投農民損失了全部 112,000 美元的分配。該事件引發了關於空投活動安全協議的嚴重質疑,並可能對 Monad 在其主網公開發布之前造成聲譽影響。
問題的核心是 Monad 空投申領網站上的會話劫持漏洞。根據安全分析師的說法,該漏洞允許惡意行為者攔截活動用戶會話並更改代幣申領的目標錢包地址。至關重要的是,系統無需任何二次驗證或重新身份驗證來確認此更改,從而使重定向的申領得以無縫處理。
該漏洞被利用來將未知數量的 MON 代幣從其預定接收者那裡轉移。最突出的報告案例涉及一名空投農民,其全部價值 112,000 美元的分配被盜用。儘管最初的一些報告表明資金因交易失敗和高昂的汽油費而損失,但隨後的分析證實損失是地址劫持漏洞的直接結果。
對於 Monad 而言,此次安全漏洞是一次重大挫折。共有 47.3 億枚 MON 代幣分發給 289,000 個合格賬戶,此次空投是一項旨在建立社區和分散其代幣供應的大規模舉措。未能確保申領過程的安全損害了人們對該項目技術執行和運營安全性的信心。所有已申領的代幣目前都存放在託管智能合約中,等待主網啟動,但此次事件帶來了不確定性和聲譽風險。
更廣泛地說,此次事件再次提醒人們空投固有的運營風險。隨著這些活動成為 Web3 中用戶獲取的主要工具,針對它們的攻擊複雜性可能會增加。此次事件可能會促使其他項目實施更嚴格的安全措施,包括對申領門戶進行強制性第三方審計和對資金申領者的多因素身份驗證。
據報導,會話劫持機制是門戶設計中的一個嚴重缺陷。一位被識別為“Cos”的安全分析師公開表示,該漏洞允許攻擊者“劫持”用戶會話,並在無需進一步用戶交互的情況下重定向空投。此外,有跡象表明一名白帽黑客此前曾發現並報告了系統中的一個漏洞,但目前尚不確定這是否是最終被利用的同一漏洞。
此次事件發生在一個市場環境中,“空投農場”(即僅為獲得未來代幣贈品而與協議交互的做法)變得越來越具有競爭性並充滿風險。參與者已經面臨高昂的交易費用和複雜的資格標準等挑戰。Monad 漏洞增加了另一層風險:協議級別的安全故障。它強調了用戶的一個關鍵依賴,用戶不僅必須信任項目的核心智能合約,還必須信任其基於網絡的基礎設施的安全性。隨著項目繼續使用空投來吸引用戶,對所有組件的安全標準將不可避免地受到更嚴格的審查。