44万美元的黑客事件揭露以太坊“许可证”诈骗的威胁

根据反钓鱼平台Scam Sniffer周一发布的警告，一名黑客在一名钱包持有者意外签署了恶意“许可证”签名后，盗取了超过44万美元的USDC。

此事件发生在网络钓鱼攻击造成的损害急剧上升之际。仅11月，就从6000多名受害者中提取了约777万美元——较10月增长137%，尽管受害者人数下降了42%。

报告称，“捕鲸”持续增加，最大案件仅凭一笔许可证就达到122万美元，显示尽管案件数量减少，但每位受害者的损失显著增加。

什么是许可证诈骗？

许可证诈骗利用诱骗用户签署看似合法但实际上赋予攻击者花钱权利的交易的做法。许多恶意的 dApp 会伪装内容、伪造合同名称，或创建看似常规作的签名请求。

如果用户没有再仔细核对，该签名将赋予攻击者在钱包中使用ERC-20令牌的完全权限。一旦获得许可，他们通常会立即耗尽资金。

这种方法利用了以太坊的许可功能——该功能旨在促进可信应用的支出授权。然而，当这项权利落入错误之手时，便利性反而成了缺陷。

一项新的跨机构倡议已启动，旨在拆除国际加密欺诈网络，特别是近年来造成数十亿美元损失的“猪肉屠宰”模式。司法部、联邦调查局、特勤局和美国财政部等多个机构将协调打击这些犯罪团伙。

为什么许可骗局难以识别？

Twinstake产品负责人Tara Annison表示，危险在于攻击者可能在单笔交易中提取资金，或者等待受害者向钱包加载更多代币——只要他们设定了足够长的签名有效期。

“这种骗局的成功在于用户签署了他们不理解的东西。它利用主观性和人类冲动性，“她说。

她还说这并不罕见。许多高价值的钓鱼攻击常冒充免费空投、虚假项目网站或虚假安全警报，诱使用户连接钱包并签署交易。

加密钱包提高了警报——但还远远不够

像MetaMask这样的钱包增加了可疑网站提醒，并将交易数据格式调整为更易理解的格式。其他一些钱包也强调高风险作。然而，攻击者不断改变战术。

Circuit创始人Harry Donnelly警告说，基于许可的攻击“相当常见”，用户需要检查发送地址、相关合同，尤其是许可限制——在许多情况下，恶意行为者会要求无限消费权限。

如何保护自己

Annison强调，反复核对你即将签署的内容仍然是最重要的防线：

• 了解签署后将采取的行动
• 检查调用的函数是否适用于你想要的作
• 不要仅仅因为dapp要求或承诺获得奖励就签字

许多钱包改进了界面，使用户更易理解，但用户自身仍需保持警惕。

据Zircuit Finance联合创始人Martin Derka称，收回这笔钱的可能性“几乎为零”。

他说，在钓鱼攻击中，受害者并不知道对方是谁，没有联系点，攻击者唯一的目标只有一个：拿走钱然后消失。“钱一旦用完了，就没了，”他说。

达山