自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

加密巨鲸误入钓鱼陷阱,质押中的以太坊痛失600万美元

2025-09-19 03:15:53
收藏

加密货币巨鲸误签恶意签名损失逾600万美元

区块链安全公司Scam Sniffer披露,9月18日一名加密货币巨鲸因在钓鱼骗局中批准恶意签名,损失了价值超过600万美元的质押以太坊(stETH)和Aave包装比特币(aEthWBTC)。

签名授权机制遭恶意利用

安全专家指出,攻击者通过"Permit"签名功能伪装成常规钱包确认操作,诱骗受害者在未察觉异常的情况下授权资金转移。区块链安全公司慢雾创始人余弦对此解释称:"受害者只是点击几次确认了钱包弹出的签名请求,甚至无需支付任何矿工费,628万美元资产就瞬间蒸发。"

Permit授权机制本是为简化代币转账流程设计,用户通过签署链下消息即可授权第三方操作,无需提交链上审批并支付费用。但这项便捷功能却为恶意行为者开辟了新的攻击途径。

新型钓鱼攻击手法解析

当用户签署此类授权后,攻击者可通过组合Permit和TransferFrom功能直接转移资产。由于授权过程发生在链下,钱包面板在资金转出前不会显示任何异常活动。待链上执行授权时,代币已被转入攻击者钱包。

这种漏洞利用方式对恶意行为者极具吸引力——无需复杂黑客技术或高昂的矿工费竞争,就能窃取数百万资金。最新案例反映出网络钓鱼攻击正呈现愈演愈烈的趋势。

八月钓鱼攻击损失激增72%

据Scam Sniffer统计,仅8月份攻击者就从15,200余名受害者处窃取1,217万美元,较7月损失额增长72%。其中近半数损失来自三个大宗账户,包括单笔损失达308万美元的钱包。

安全专家将损失激增归因于EIP-7702批量签名诈骗的兴起,以及用户直接向恶意合约转账的情况增加。鉴于此,专家建议加密货币用户在处理钱包请求时保持警惕,拒绝授予无限权限的操作要求。

展开阅读全文
更多新闻