根據反釣魚平台 Scam Sniffer 週一發布的警告,一名駭客在一名錢包持有人意外簽署惡意「許可證」簽名後,竊取了超過 44 萬美元的 USDC。
此事件發生在網路釣魚攻擊造成的損害急劇增加之際。僅十一月,就從超過6,000名受害者中提取了約777萬美元——較十月增加了137%,儘管受害者人數下降了42%。
報告指出,「捕鯨」持續增加,最大案件僅憑一張許可證就達到122萬美元,顯示雖然案件數量減少,但每位受害者的損害程度顯著增加。
許可證詐騙利用誘使用戶簽署看似合法的交易,實際上卻賦予攻擊者使用金錢的權利。許多惡意 dApp 會偽裝內容、偽造合約名稱,或建立看似例行作業的簽署請求。
如果使用者沒有再三確認,該簽名就會讓攻擊者完全有權在錢包中使用 ERC-20 代幣。一旦取得執照,他們通常會立即耗盡資金。
此方法利用以太坊的許可功能——旨在促進可信應用的支出授權。然而,當這項權利落入錯誤之手時,便利性反而成為缺陷。
一項新的跨機構倡議已啟動,旨在瓦解國際加密詐騙網絡,特別是近年來造成數十億美元損失的「豬屠宰」模式。許多機構,如司法部、聯邦調查局、特勤局及美國財政部,將協調打擊這些犯罪集團。
Twinstake 產品主管 Tara Annison 表示,攻擊者可能在單一交易中提領資金,或等待受害者在錢包中充入更多代幣後才行動——只要他們設定了足夠的簽名有效期。
「這類詐騙的成功關鍵在於用戶簽署了他們不懂的東西。它利用主觀性和人類的衝動性,」她說。
她也說這並不罕見。許多高價值的網路釣魚攻擊常冒充免費空投、假專案網站或假安全警示,誘使用戶連結錢包並簽署交易。
像 MetaMask 這類錢包已新增可疑網站警示,並將交易資料格式改為更易理解。其他一些錢包也會強調高風險操作。然而,攻擊者不斷改變戰術。
Circuit 創辦人 Harry Donnelly 警告說,基於許可的攻擊「相當普遍」,用戶需要檢查發送地址、相關合約,尤其是授權限制——許多情況下,惡意行為者會要求無限消費權限。
Annison 強調,再次確認你即將簽署的內容仍是最重要的防線:
許多錢包已經改進了介面,讓使用者更容易理解,但仍然需要用戶自己保持警覺。
根據Zircuit Finance共同創辦人Martin Derka的說法,拿回這筆錢的可能性「幾乎為零」。
他說,在網路釣魚攻擊中,受害者不知道對方是誰,沒有聯絡點,攻擊者只有一個目標:拿錢然後消失。「錢一旦沒了,就沒了,」他說。
達山
