SlowMist: Mag-ingat sa Solana wallet Owner permission tampering attack

ChainCatcher balita, ang SlowMist security team ay naglabas ng isang security warning case, kung saan isang user kamakailan ang nabiktima ng phishing attack, at ang Owner permission ng kanyang account ay nailipat. Sinubukan niyang bawiin ang authorization ngunit hindi ito magawa. Mahigit $3 milyon na halaga ng asset ng user na ito ang nanakaw na, at may karagdagang mga asset na nagkakahalaga ng humigit-kumulang $2 milyon na nakaimbak sa DeFi protocol ngunit hindi mailipat. Sa kasalukuyan, ang bahaging ito ng asset na nagkakahalaga ng humigit-kumulang $2 milyon ay matagumpay nang nailigtas sa tulong ng kaugnay na DeFi.

Ang atakeng ito ay hindi ang tradisyonal na "authorization theft", kundi ang pangunahing permission (Owner permission) ay napalitan ng attacker, na nagdulot ng kawalan ng kakayahan ng biktima na mag-transfer, mag-revoke ng authorization, o mag-operate ng DeFi assets. Ang pondo ay "lumalabas na normal" ngunit hindi na makokontrol. Gumamit ang attacker ng dalawang counter-intuitive na scenario upang matagumpay na malinlang ang user na mag-click: 1. Karaniwan, kapag pumipirma ng transaction, ang wallet ay mag-si-simulate ng resulta ng transaction execution, at kung may pagbabago sa pondo ay ipapakita ito sa interface, ngunit ang transaction na maingat na ginawa ng attacker ay walang pagbabago sa pondo; 2. Ang tradisyonal na Ethereum EOA account ay kontrolado ng private key, kaya sa pananaw ng user ay hindi malinaw na may kakayahan ang Solana na baguhin ang account ownership. Paalala ng SlowMist, dapat maging maingat ang mga user kapag nagbibigay ng authorization signature, at tiyaking walang nakatagong operasyon tulad ng pagbabago ng Owner o iba pang high-risk permissions.