驚險一簽!加密鯨魚因惡意簽名損失 628 萬美元
Market Whisper
一位加密貨幣巨鯨在 9 月 18 日遭遇了驚人的財富損失,僅因一次看似無害的簽名操作,導致價值超過 600 萬美元的質押以太坊(stETH)和 Aave 包裝的比特幣(aEthWBTC)被盜。區塊鏈安全公司 Scam Sniffer 報告稱,這位投資者在一次精心設計的網路釣魚攻擊中,意外批准了一個惡意「許可」簽名,讓攻擊者無需支付任何 Gas 費用就能掏空其錢包。
「無聲」攻擊:一次簽名,628 萬美元瞬間消失
(來源:X)
安全公司 SlowMist 的創辦人 Yu Xian 對這起事件進行了詳細分析,揭示了這類攻擊的恐怖之處。他表示:
「從受害者的角度來看,他只是點擊了幾次,確認了錢包中彈出的簽名,沒有花一分錢的汽油費,628 萬美元就沒了。」
這起攻擊的可怕之處在於其隱蔽性。攻擊者巧妙地將惡意操作偽裝成常規錢包確認步驟,誘騙受害者允許轉移資產而不會引起任何警告。由於交易不消耗 Gas,受害者完全沒有意識到危險,直到資產被轉移已為時已晚。
「許可」漏洞:便利性背後的致命風險
這類攻擊利用了名為「Permit」的功能漏洞。這一功能原本旨在簡化代幣轉移流程:使用者無需執行鏈上命令並支付 Gas 費用,只需簽署鏈下訊息即可授權給第三方。
然而,這種便利性也為惡意攻擊者開啟了新的攻擊面。當受害者簽署「許可證」後,攻擊者可以結合兩個函數——Permit 和 TransferFrom——直接提取資產。由於授權是在鏈下進行的,因此在資產提取之前,錢包儀錶板不會顯示任何異常活動。
結果,當交易在鏈上執行時,所有代幣都被轉移到了攻擊者的錢包。正是這個漏洞使得 Permit 攻擊越來越受到駭客的青睞,讓他們無需複雜的駭客技術或昂貴的 Gas 費用就能提取數百萬美元。
網路釣魚攻擊激增:8 月損失達 1,217 萬美元
這起事件並非孤例,而是反映出網路釣魚活動日益猖獗的趨勢。根據 Scam Sniffer 的統計數據,僅在 8 月份,攻擊者就從超過 15,200 名受害者手中竊取了 1,217 萬美元,較 7 月份驚人增長了 72%。
更令人擔憂的是,近一半的損失來自三個大型錢包,其中一個錢包在一次事件中損失了 308 萬美元。這表明攻擊者正在有針對性地鎖定高淨值加密貨幣持有者。
Scam Sniffer 分析認為,這一增長主要是由於與 EIP-7702 相關的詐騙(批量簽名詐騙)以及用戶意外直接簽署惡意合約所致。
專家建議:如何保護您的加密資產
鑑於這類攻擊的增加,安全專家提出以下建議,幫助加密貨幣用戶保護自己的資產:
· 對所有錢包簽名請求保持高度警惕,特別是那些要求授予對資產的無限制存取權限的請求
· 使用支持詳細交易預覽的硬體錢包,可以幫助識別惡意交易
· 在簽署任何許可或批准之前,仔細檢查交易詳情,確保了解您正在授權的內容
· 考慮使用多重簽名錢包或設置交易限額,以減少單點故障風險
· 定期檢查已授予的許可,並撤銷不再需要的許可
這起事件再次提醒我們,在加密貨幣世界中,即使是最簡單的操作也可能帶來巨大風險。隨著攻擊者不斷開發新的欺詐手段,保持警惕和了解最新的安全威脅變得比以往任何時候都更加重要。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。
相關文章
留言
0/400
暫無留言