Edgen Crypto·Nov 25 2025, 13:10Monad 空投申领门户中存在的严重安全漏洞,导致攻击者盗用用户资金。该漏洞被确定为会话劫持问题,使恶意行为者能够将代币分配重定向到他们自己的钱包,导致至少一名用户遭受重大财务损失,并给该项目即将到来的主网发布蒙上阴影。
Monad 区块链最近的空投因其代币申领门户中存在的严重安全漏洞而受到严重影响。该漏洞允许攻击者劫持用户会话并将分配的 MON 代币重定向到他们自己的钱包。此次攻击导致参与者遭受了真实的经济损失,其中最引人注目的是一位空投农民损失了全部 112,000 美元的分配。该事件引发了关于空投活动安全协议的严重质疑,并可能对 Monad 在其主网公开发布之前造成声誉影响。
问题的核心是 Monad 空投申领网站上的会话劫持漏洞。根据安全分析师的说法,该漏洞允许恶意行为者拦截活动用户会话并更改代币申领的目标钱包地址。至关重要的是,系统无需任何二次验证或重新身份验证来确认此更改,从而使重定向的申领得以无缝处理。
该漏洞被利用来将未知数量的 MON 代币从其预定接收者那里转移。最突出的报告案例涉及一名空投农民,其全部价值 112,000 美元的分配被盗用。尽管最初的一些报告表明资金因交易失败和高昂的汽油费而损失,但随后的分析证实损失是地址劫持漏洞的直接结果。
对于 Monad 而言,此次安全漏洞是一次重大挫折。共有 47.3 亿枚 MON 代币分发给 289,000 个合格账户,此次空投是一项旨在建立社区和分散其代币供应的大规模举措。未能确保申领过程的安全损害了人们对该项目技术执行和运营安全性的信心。所有已申领的代币目前都存放在托管智能合约中,等待主网启动,但此次事件带来了不确定性和声誉风险。
更广泛地说,此次事件再次提醒人们空投固有的运营风险。随着这些活动成为 Web3 中用户获取的主要工具,针对它们的攻击复杂性可能会增加。此次事件可能会促使其他项目实施更严格的安全措施,包括对申领门户进行强制性第三方审计和对资金申领者的多因素身份验证。
据报道,会话劫持机制是门户设计中的一个严重缺陷。一位被识别为“Cos”的安全分析师公开表示,该漏洞允许攻击者“劫持”用户会话,并在无需进一步用户交互的情况下重定向空投。此外,有迹象表明一名白帽黑客此前曾发现并报告了系统中的一个漏洞,但目前尚不确定这是否是最终被利用的同一漏洞。
此次事件发生在一个市场环境中,“空投农场”(即仅为获得未来代币赠品而与协议交互的做法)变得越来越具有竞争力并充满风险。参与者已经面临高昂的交易费用和复杂的资格标准等挑战。Monad 漏洞增加了另一层风险:协议级别的安全故障。它强调了用户的一个关键依赖,用户不仅必须信任项目的核心智能合约,还必须信任其基于网络的 инфраструктура 的安全性。随着项目继续使用空投来吸引用户,对所有组件的安全标准将不可避免地受到更严格的审查。