loading...
据Scam Sniffer周一推文披露,一名黑客通过诱导钱包所有者签署恶意"许可"签名,盗取了超过44万美元的USDC稳定币。这起盗窃案发生之际,网络钓鱼造成的损失正在急剧上升。该平台月度报告显示,11月期间超过6000名受害者共损失约777万美元,尽管受害者数量下降42%,但总损失金额较10月暴涨137%。
报告指出:"针对大额资金的狩猎行为愈演愈烈,单笔最高损失达122万美元。虽然攻击次数减少,但个体损失金额显著增长。"
此类诈骗的核心在于诱使用户签署看似合法实则暗藏陷阱的交易,使攻击者获得转移用户代币的权限。恶意去中心化应用会通过伪装字段、伪造合约名称或将签名请求伪装成常规操作等手段实施欺诈。
若用户未仔细核查交易细节,签署请求将实质授权攻击者支配其所有ERC-20代币。一旦授权成功,诈骗分子通常会立即转移全部资金。
该手法利用了以太坊的许可功能——该功能本意是方便用户将代币使用权委托给受信任应用。但当权限落入攻击者手中时,便利性就转化为安全漏洞。
Twinstake产品负责人指出:"此类攻击最棘手之处在于,攻击者既可在单次交易中完成授权和代币转移,也可通过授权获得长期访问权,静待后续资金入账后实施盗窃。其成功关键就在于诱骗用户签署尚未完全理解权限的指令。"
她补充道:"这完全利用了人性的弱点,抓住了人们急于求成的心理。"
专家强调此类事件绝非个例。目前存在大量高价值、大规模的钓鱼骗局,常以免费空投、虚假项目登录页面或伪造安全警告为诱饵,诱导用户连接钱包并签署不明协议。
为应对威胁,钱包服务商持续加强防护功能。例如MetaMask会对可疑网站发出警告,并将交易数据转化为易读的操作意图。其他钱包也纷纷强化高风险操作提示,但诈骗手段仍在不断升级。
Circuit创始人兼CEO表示,此类攻击已"相当普遍",建议用户务必核验发送方地址和合约细节:"若协议与预期转账目标不符,极可能是资金窃取企图。同时要警惕无限授权请求。"
专家强调保持警惕仍是用户最强防线:"防范此类诈骗的最佳方式是确保完全理解签署内容。交易将执行哪些操作?使用何种功能?这些是否与预期一致?"
"虽然钱包和去中心化应用已改进界面设计,避免用户盲目签名,但主动核查签署内容仍至关重要,绝不能简单连接钱包后直接点击确认。"
一旦资金被盗,追回希望极其渺茫。Zircuit Finance联合创始人兼技术负责人坦言,找回资金的可能性"基本为零"。
他解释道:"网络钓鱼攻击者以窃取资金为唯一目的。没有谈判余地,没有联络渠道,甚至无法确定对手方身份。攻击者采取的是概率博弈,资金一旦转移就覆水难收。"
938
241
757
725
366
329
960
649
912
