资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
一起钓鱼攻击导致加密货币投资者损失近百万美元
区块链安全公司Scam Sniffer披露,某加密货币投资者因误签伪装成Uniswap交易的恶意批量交易,导致钱包内价值近百万美元的代币被洗劫一空。
新型攻击手法利用以太坊EIP-7702机制
区块链安全公司SlowMist创始人余翔在8月22日的社交平台发文指出,该事件涉及攻击者通过五类代币交易,恶意利用了以太坊新推出的EIP-7702机制。他解释道:"从受害者的视角来看,整个过程是这样的:用户打开钓鱼网站,弹出钱包签名请求,点击确认后,仅这一个动作就导致钱包地址内所有高价值资产瞬间消失。"
EIP-7702机制是在Pectra升级中引入的以太坊用户体验优化方案。该功能允许钱包临时充当智能合约,实现批量交易、燃料费代付或支出限额设置等操作。理论上这种授权是可撤销且限定于特定网络的,但攻击者已在实践中找到了滥用该功能的途径。
安全机构发出紧急警告
加密货币做市商Wintermute此前已警告该标准正被大规模滥用。其6月分析报告显示,超过90%的EIP-7702授权都与恶意合约相关联。该公司指出,这些合约多数是简单的复制粘贴脚本,能够自动扫描存在漏洞的钱包并清空资产。
针对这种情况,Scam Sniffer和余翔共同呼吁加密货币用户在执行钱包签名请求前务必保持警惕。他们建议采取以下防护措施:核实域名真实性、避免仓促确认交易、拒绝含义模糊或授权范围过大的签名请求。
需要特别注意的风险信号包括:要求无限代币授权、通过EIP-7702进行的合约升级,以及实际交易与模拟结果不符等情况。
