因458天前签署的钓鱼授权损失90.8万美元
该事件凸显了旧版代币授权的危险性
ScamSniffer追踪发现此次攻击源于历史钱包签名
延迟已久的以太坊骗局致用户损失近百万美元
近日,一起令人震惊的事件提醒我们遗留钱包授权的潜在风险——某以太坊用户因458天前签署的钓鱼授权损失了90.8万美元。
根据链上安全监测机构ScamSniffer的报告,攻击者利用了受害者一年多前签署的休眠授权。受害者可能曾与伪造或恶意的dApp交互,在不知情的情况下签署了授权交易,为攻击者日后盗取代币打开了后门。
钓鱼授权运作原理
在以太坊生态系统中,许多去中心化应用要求用户在交易前进行代币"授权"。这些授权通常具有长期有效性,除非手动撤销否则不会过期。攻击者正是利用了这一点。
诈骗者耐心等待超过一年时间,在用户钱包积累大量资金时发起攻击。这是常见手段——恶意行为者依赖用户早已遗忘的历史授权来清空钱包。
该案例强烈警示:一旦签署恶意授权,除非用户主动撤销,否则攻击者随时可能执行。
以太坊用户防范指南
为避免类似攻击,用户应当:
- 定期使用Revoke.cash或Etherscan Token Approvals等工具检查并撤销代币授权
- 与陌生dApp交互时保持警惕
- 使用硬件钱包确认所有授权请求
随着钓鱼骗局日益复杂,主动维护钱包安全变得至关重要。