以太坊钓鱼代币授权事件导致近100万美元USDT被盗
一起以太坊钓鱼代币授权事件导致近100万美元的USDT损失,这再次表明,尽管钱包安全工具日益完善,恶意代币授权仍然对加密货币用户构成威胁。
区块链记录显示,攻击者在调整交易以匹配受害者钱包的精确余额后,成功将资金转移。
这一事件发生在钓鱼相关加密货币盗窃案件整体上升的背景之下。区块链安全公司警告称,授权类诈骗仍是有组织网络犯罪分子最常用的手法之一。
以太坊钓鱼代币授权盗取99.9万USDT
Etherscan上的区块链数据显示,攻击者通过三笔交易从以太坊钱包中提取了999,999 USDT,此前受害者批准了一个恶意智能合约。
据Scam Sniffer透露,攻击者最初试图通过多调用交易转移整100万美元。首次尝试失败,因为钱包余额略低于预期。几秒钟后,恶意脚本重新计算可用余额,并成功转移了剩余的全部资金。
Scam Sniffer解释道:“脚本重新计算并提取了精确的剩余余额。”
此案例表明,以太坊钓鱼代币授权可以使自动化的钱包清空合约获得转移代币的权限,而无需钱包所有者再次确认。
以太坊钓鱼代币授权暴露代价高昂的钱包失误
以太坊钓鱼代币授权如何利用钱包漏洞
与私钥盗窃不同,钓鱼授权依赖于用户无意中向恶意合约授予支出权限。据Chainalysis称,受害者通常会被诱导批准看似无害的交易,例如领取奖励、确认兑换或连接去中心化应用。一旦授权完成,攻击者即可自动转移已授权的代币,无需钱包所有者进一步操作。
Chainalysis指出,诈骗者经常在多轮攻击中重复使用钱包基础设施。高级调查员Renato Bastos表示:“诈骗者在不同受害者之间重复使用相同的钱包、合约的合法授权功能以及兑现渠道,这意味着每一起报告都会暴露一个更广泛的关系网。”
最近的这起以太坊钓鱼代币授权攻击与近期多起事件类似:受害者在与虚假交易所或仿冒去中心化应用交互后签署了恶意授权。
区块链报告显示钓鱼仍是主要加密犯罪类别
区块链安全研究显示,钓鱼授权仍然在整个行业内造成巨额损失。据Chainalysis统计,2025年链上诈骗至少产生了140亿美元,其中投资诈骗占比最大。该公司还估计,随着更多与诈骗相关的地址被识别,非法收入总额可能进一步上升。钓鱼授权仍然是实施这些欺诈计划的主要技术之一。
Chainalysis早期行业研究估计,自2021年以来,通过相互关联的诈骗网络,钓鱼授权活动已造成约10亿美元的受害者损失。越来越多的案例表明,以太坊钓鱼代币授权攻击之所以非常有效,是因为它们滥用了合法的ERC-20许可机制,而非利用区块链漏洞。
地址投毒增加另一层风险
钓鱼授权常与地址投毒相伴而行,后者是一种诱导用户将资金发送到欺诈钱包的伎俩。攻击者创建与合法地址极为相似的钱包地址,然后向受害者发送小额“粉尘”交易。当用户之后从交易历史中复制地址时,可能误选攻击者的山寨钱包。
为应对这一威胁,MetaMask于2026年6月推出了实时地址投毒检测功能。该功能将粘贴的钱包地址与之前信任的收款人进行比较,并在检测到可疑相似性时向用户发出警告。
用户如何降低钓鱼授权风险
安全研究人员建议,在批准代币授权之前,务必验证每一笔钱包签名,尤其是在与不熟悉的去中心化应用交互时。用户应定期检查并撤销不必要的代币授权,在连接钱包前确认网站域名,避免匆忙进行交易,并依赖能够检测恶意合约和可疑地址的钱包安全功能。
正如最新的以太坊钓鱼代币授权事件所证明的那样,一次授权就足以让攻击者持续访问钱包资产,因此权限管理的重要性不亚于保护私钥。
总结
一名加密货币用户因无意中批准了恶意的以太坊智能合约,导致损失999,999 USDT。攻击者重新计算余额后清空了钱包。Chainalysis表示,钓鱼授权仍然是最常见的加密诈骗方式之一,犯罪分子反复使用相同的钱包和技术瞄准新受害者。
用户可以通过仔细检查钱包授权请求、撤销不必要的代币权限、验证网站地址以及使用能检测可疑活动的钱包安全功能来降低风险。
关键术语表
1. 以太坊钓鱼代币授权
以太坊钓鱼代币授权是一种虚假的权限请求,诱骗你向骗子授予访问你加密代币的权限。一旦批准,他们可能无需再次询问即可转移你的资金。
2. 智能合约
智能合约是区块链上自动运行的数字协议。你可以把它想象成一台自动售货机——当满足特定条件时,它会自动执行操作。
3. 加密钱包
加密钱包是一种用于存储、发送和接收加密货币的数字工具。它类似于银行应用,但由你(而非银行)负责其安全。
4. USDT(泰达币)
USDT是一种旨在保持与1美元价值接近的加密货币。许多人因其价格相对稳定而将其用于支付和交易。
5. 代币授权
代币授权是指你授予智能合约访问钱包中特定代币的权限。就像允许一个受信任的应用代表你进行支付——但你必须清楚自己批准了什么。
6. 地址投毒
地址投毒是一种诈骗手段:犯罪分子从一个与受害者过去使用过的地址极其相似的钱包地址发送极小额的加密货币,目的是诱骗受害者误复制假地址。
7. 区块链
区块链是一个公共数字账本,永久记录加密货币交易。你可以将其视为一个共享的在线记录簿,任何人都可以查看,但没人能秘密更改。
8. Etherscan
Etherscan是一个网站,用于查看以太坊钱包活动、交易和智能合约。它就像一个搜索引擎,帮助你了解以太坊区块链上发生的事情。
关于以太坊钓鱼代币授权的常见问题
1. 什么是以太坊钓鱼代币授权?
以太坊钓鱼代币授权是指你在不知情的情况下授予恶意智能合约访问代币的权限,从而允许攻击者无需进一步批准即可转移你的资金。
2. 如何保护自己免受以太坊钓鱼代币授权诈骗?
仔细检查每一条钱包授权请求,确认你正在使用正确的网站,撤销不再需要的授权,并尽可能启用可靠的钱包安全功能。
3. 钓鱼攻击后我能找回加密货币吗?
在大多数情况下,被盗的加密货币无法追回,因为区块链交易是不可逆的。尽快撤销授权并保护钱包可能防止进一步损失。
4. 哪些工具可以帮助防止钓鱼代币授权攻击?
像MetaMask这样的钱包、Scam Sniffer等浏览器扩展以及代币授权管理工具,可以帮助检测可疑请求并提升钱包整体安全性。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种