北京
奔跑財(cái)經(jīng)12月10日消息,據(jù)反詐騙平臺(tái)Scam Sniffer發(fā)布推文披露,一名黑客通過誘導(dǎo)錢包所有者簽署惡意"授權(quán)"簽名,竊取了超44萬美元的USDC。
此類詐騙的核心在于誘騙用戶簽署看似合法、實(shí)則將代幣使用權(quán)授予攻擊者的交易。惡意去中心化應(yīng)用可能偽裝字段、偽造合約名稱,或?qū)⒑灻?qǐng)求偽裝成常規(guī)操作。若用戶未仔細(xì)核查詳情,簽署請(qǐng)求即等同于將全部ERC-20代幣的支配權(quán)移交攻擊者。一旦授權(quán)完成,詐騙者通常會(huì)立即轉(zhuǎn)移資金。
該手法利用了以太坊的Permit功能——該功能本意是通過允許用戶將代幣使用權(quán)委托給可信應(yīng)用來簡(jiǎn)化轉(zhuǎn)賬流程。但當(dāng)權(quán)限被授予攻擊者時(shí),這種便捷性便成了安全漏洞。
"此類攻擊的棘手之處在于,攻擊者可通過單筆交易完成授權(quán)和代幣轉(zhuǎn)移(即砸搶式攻擊),也可先獲取授權(quán)權(quán)限后潛伏,等待后續(xù)資金注入再轉(zhuǎn)移(只要他們?cè)谑跈?quán)元數(shù)據(jù)中設(shè)置了足夠長的訪問期限),"Twinstake產(chǎn)品負(fù)責(zé)人塔拉·安尼森解釋道。
"這類詐騙的成功取決于用戶簽署了尚未完全理解其后果的內(nèi)容,"她補(bǔ)充稱,“這完全利用了人性弱點(diǎn),趁虛而入人們的急切心理。”
安尼森指出此類事件絕非孤例:“存在大量高價(jià)值、大規(guī)模的釣魚詐騙案例,旨在誘騙用戶簽署他們不完全理解的內(nèi)容。這些騙局常偽裝成免費(fèi)空投、誘導(dǎo)連接錢包的虛假項(xiàng)目著陸頁,或是謊稱安全檢查的欺詐警告。”
用戶應(yīng)注意核查發(fā)送地址與合約詳情。最明確的判斷方式是,如果協(xié)議與實(shí)際轉(zhuǎn)賬目標(biāo)不符,很可能就是資金竊取行為。同時(shí)需檢查授權(quán)金額,他們常試圖獲取無限授權(quán)。
Zircuit Finance聯(lián)合創(chuàng)始人兼技術(shù)負(fù)責(zé)人馬丁·德爾卡表示,追回資金概率"基本為零"。"在網(wǎng)絡(luò)釣魚攻擊中,對(duì)手的唯一目標(biāo)就是奪取資金。沒有談判余地,沒有聯(lián)絡(luò)渠道,甚至無法確定交易對(duì)方身份,"他指出,“攻擊者玩的是概率游戲。資金一旦轉(zhuǎn)移,便覆水難收。追回實(shí)質(zhì)上已無可能。”
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
