一名以太坊用户因签署了钓鱼代币授权,导致其钱包中的 999,999 USDT 被盗,这一行为使得攻击者获得了从该钱包提取资金的权限。
这次损失并非源于助记词泄露或 USDT 合约漏洞,而是通过授权机制发生的。授权是一种标准的 ERC-20 权限,允许另一个地址从用户钱包中支出代币。如果被授权的支出方是恶意的,攻击者就可以利用这一权限转移代币,而无需获取受害者的私钥。
攻击者首先试图从钱包中提取 100 万 USDT,但由于请求金额超过了可用余额 631 美元,交易失败。36 秒后,攻击者再次尝试,修正了金额,将剩余的 999,999 USDT 一扫而空。
授权盗币者持续瞄准稳定币
USDT 授权是高价值目标,因为稳定币结算速度快、价值与美元挂钩,并且能够在高流动性渠道中交易。恶意授权可能将正常的钱包提示变成直接的支出授权,尤其是当用户通过虚假的申领页面、钓鱼链接、假冒应用或受损的前端界面进行签署时。
加密钱包盗币者通常综合运用社会工程学、虚假或受损网站、恶意脚本以及攻击者控制的钱包。这些页面让操作看起来像是常规流程,而钱包提示则会生成转移资金所需的授权或签名。
同样的授权模式也说明了为什么用户在与陌生应用交互后需要检查支出权限。用户可以通过可信赖的、已收藏的授权工具来检查旧的支出权限,验证支出方地址,并移除不再有实际用途的访问权限,从而降低休眠授权风险。
钱包提示仍是主要防线
用户应将每一次授权和签名请求都视为具有财务后果的交易,而不是常规的登录步骤。安全审查应从以下方面入手:域名、连接的钱包、被授权的代币、支出方地址、授权金额,以及请求是否与用户本意要执行的操作相匹配。
最近的盗币事件在不同场景中暴露了同样的薄弱环节。Polymarket 用户因一个供应商脚本而遭受了 294 万美元的损失,该问题源于一个受损的前端依赖项,而不是已确认的智能合约漏洞。
该事件中的资金随后被转移到了三个新的以太坊钱包中,攻击者在转换了被盗资产后,将价值从 Polygon 桥接到了以太坊。
最新的 USDT 案例属于同一类更广泛的钱包安全问题:用户签署了授权,而攻击者的行动速度之快,使得任何后续的撤销操作都无法阻止。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种