官方的“邦克.弗恩”网站（一个基于索拉纳区块链的代币发行平台）遭到了攻击者的入侵。攻击者利用了与该团队有关联的域名账户，植入了一个伪装成标准服务条款提示的恶意钱包清空脚本，其中一名交易员已经报告损失了 27.3 万美元。

攻击是如何实施的

根据 Bonk.fun 团队及操作者汤姆的官方声明，此次入侵并不需要利用智能合约漏洞或破解钱包加密技术。攻击者通过一个被攻破的团队账户获取了该平台域名的控制权，然后用一个看似正常的、旨在让人误以为是常规操作的欺骗性服务条款弹窗取代了合法的网站功能，以达到其目的，而这种操作往往不会引起用户的质疑。


签署虚假提示信息会授予攻击者钱包相应的权限，从而允许立即进行资产转移。这种机制是一种基于签名的“吸金器”，在加密货币领域是最有效的攻击手段之一，因为它完全绕过了技术层面的安全防护，而是通过利用用户对熟悉界面的信任来实现攻击。
只有在 3 月 11 日（周三）开始的劫持窗口期间访问该网站并点击了欺诈性提示的用户才面临风险。据报道，此前在漏洞发生前就已连接过钱包但未点击新提示的用户不受影响。通过外部终端而非直接通过 bonk.fun 界面访问与 Bonk 相关代币的交易者也是安全的。
此次单个交易者的损失达 27.3 万美元，这是已确认的最高损失金额。其他报道的损失金额在每个受影响钱包的 10 至 50 SOL 之间，这表明该攻击者在暴露期间同时利用了多个受害者的账户进行操作。

应采取的措施

在团队明确表示安全确认且恶意脚本已被移除之前，请勿访问 bonk.fun 网站。如果您在过去 24 小时内访问过该网站，请打开钱包设置，并将 Bonk.fun 从关联网站列表中移除。仅此一步并不能撤销已授予的权限。前往 Revoke.cash，连接您的钱包，然后取消过去 24 小时内与该平台合同相关的任何批准。检查您的交易历史记录，查看是否有任何未经您发起的未经授权的转账。
这种攻击模式与本周早些时候本出版物中关于“信任钱包”安全分析所涵盖的更广泛的地址篡改和社交工程威胁如出一辙。攻击的范围并非区块链或钱包软件，而是用户在未完全核实所授权内容的情况下就进行签名的那一刻。虚假的使用条款提示、虚假的授权请求以及相似的界面都是同一种漏洞的不同表现形式：营造出一种签名看似常规的环境。
域名级别的入侵尤其危险，因为它会影响到访问合法网址的每一个用户。用户无法通过其他方式区分被劫持的合法域名与其正常版本，除非查看其底层脚本，而大多数用户都不会这样做。唯一的防护措施是在发现漏洞后能够迅速做出响应，并立即撤销在暴露期间授予的任何权限。
如果资金已经转移，那么就很可能无法追回了。索拉纳平台的交易是最终且不可撤销的。

免责声明：编程网不支持此页面上的任何内容、准确性、质量、广告、产品或其他材料。读者在采取与加密货币相关的任何行动之前应自行进行研究。编程网 不直接或间接对因使用或依赖提及的任何内容、商品或服务而造成或被指称造成的任何损害或损失负责。