钱包权限暗藏隐患，Solana用户痛失300万美元_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

钱包权限暗藏隐患，Solana用户痛失300万美元

2025-12-05 22:59:46

近期安全事件引发Solana生态担忧

近日一起精心设计的网络钓鱼事件导致某用户损失超过300万美元，这再次引发了Solana生态系统的安全担忧。该事件暴露了Solana账户结构中一个鲜为人知的风险，并展示了攻击者如何在交易签名过程中不留痕迹地篡改钱包权限。

攻击者如何利用Solana权限框架

据SlowMist报告，攻击者通过伪造签名请求修改钱包的Owner权限，从而获得了控制权。由于交易未显示余额变动，降低了用户的警惕性。

此外，许多Solana用户误以为其账户所有权机制与以太坊外部账户类似，认为单次签名不会改变所有权。这种认知偏差为攻击者创造了可乘之机，使其能够设计表面无害实则高危的交易操作。

专家指出，Solana采用多种账户类型，包括普通账户和程序派生账户。代币账户需遵循其代币程序的规则运行。这些结构虽然提升了效率，但也为攻击者提供了更多可乘之机。值得注意的是，本次事件涉及多层权限操控，攻击者借此通过多平台和多地址转移资金。

复杂洗钱路径揭示网络钓鱼手段升级

MistTrack调查人员追踪发现，攻击者实施了快速的多平台资金流转。转移路径包含跨链循环、中心化交易所存款及DeFi资产复用。两个主要钱包枢纽处理了大部分转账，呈现出高级洗钱方案的典型特征。受害者另有200万美元资产被锁定在DeFi平台，经相关协议团队协助已完成追回，这体现了及时上报的重要性。

Solana用户风险防范建议

安全机构建议用户保持警惕：应仔细核验网址链接，确认交易详情，避免点击未知来源链接。建议为高风险操作设立独立钱包，并将高价值资产离线存储。此外，应避免授予无限授权，对每个权限请求都需进行审慎核查。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文