哇哦，Web3安全公司Blowfish发现两个新的Solana抽水虫，能进行位翻转攻击，这个消息就如同一颗惊雷划过社交媒体平台X的分析报告。

这些小偷叫做Aqua和Vanish，它们不仅条文窜改了链上数据的条件，而且即便用过私钥签名过交易后还乐此不疲。据说，Blowfish声称，这些偷窃脚本在提供骗局服务工具的市场上可以付费获取。

Blowfish团队揭示了这些小偷是如何利用数据和资金窃取的：在报告中写道：“在Solana上，一个dApp可以授权提交交易。如果该dApp的链上程序包含一个允许它向用户发送SOL或吸干其账户的条件的条件，那么小偷就可以随时翻转那个条件。”

起初，这些小偷对用户来说是看不到的。受害者签署了一看起来很正常的好交易。然而，在收到签名后，小偷暂时扣下了这个交易。通过一个单独的交易，“然后，他们翻转了dApp的条件；它不是看起来要发送SOL，而是反而要拿走SOL。”

现在，一种全新种类的骗局在四处游荡，它们绝不像我们曾经见过的任何东西！

想象一下：一种交易，在你签名时看起来很安全，但是一旦它提交到链上，它马上就抽干你的资产。

听起来像一场噩梦，对吧？ pic.twitter.com/VkD4Cbhnh0

位翻转攻击是一种形式的侵害，攻击者通过修改加密数据的某些位来操纵系统。它允许攻击者在不知道加密密钥的情况下修改加密信息。通过翻转特定的位，攻击者在解密后有时可以以可预测的方式改变消息。

越来越多的加密货币抽水虫已经针对Solana生态系统。根据Chainalysis，一个单一的Solana钱包抽水虫工具包的大型在线社区，截至一月份已拥有超过6000名成员。在之前的采访中，Chainalysis的高级情报分析师Brian Carter告诉CoinTelegraph，最成功的抽水套件可以以各种方式针对多种资产。

据说，Blowfish团队已经设置了防御措施，自动阻止新发现的抽水虫，并正在监视链上活动。

杂志：DeFi的十亿美元秘密：负责破解内幕人士