惊魂一刻!某用户误签钓鱼签名,损失近100万USDT

一名加密用户因签署恶意代币授权请求,导致价值999,999美元的USDT在以太坊上被钓鱼攻击盗取。攻击者利用Multicall函数快速拆分并转移资金,受害者私钥未泄露。链上记录显示资金在三笔交易内完成转移。

一名身份不明的加密用户因签署一条虚假的代币批准请求,损失了约999,999美元的USDT。链上记录显示,攻击者将盗取的资金分三笔转移,并在几分钟内完成交易,分别落入以太坊区块25489460和25489463。

代币批准钓鱼是DeFi领域中最持久的威胁之一。攻击者无需获取受害者的私钥,而是诱骗用户签署一个授权请求,使恶意合约获得代币的完全访问权限。该授权持续有效,直到用户撤销为止。

本次事件中,受害者的钱包对该代币设有无限授权额度,攻击者得以未经再次确认即可转移资金。安全机构Scam Sniffer监测到该笔交易,并指出攻击者使用了Multicall函数将多个操作捆绑在一笔交易中,从而在数秒内转移USDT,并将资金拆分为三笔输出,大幅缩短了受害者撤销授权的时间窗口。

这种手法与近期其他钓鱼攻击如虚假Uniswap网站、伪造空投授权等类似,均利用了结构化的交易特点。Scam Sniffer数据显示,今年钓鱼攻击损失已激增200%,且目标集中在高价值钱包。

安全分析师呼吁用户谨慎验证每一笔签名请求,在确认前务必检查合约地址和权限范围。建议定期撤销不再使用或无限授权的代币批准,这是防范此类攻击的最有效手段之一。钱包提供商虽然不断强化防护,但分析师指出,没有任何界面能完全替代用户对签名内容的仔细审查。随着钓鱼攻击自动化程度提高,从一次签名到钱包被清空的间隔正在不断缩短。

免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。

(0)
区块链小猫的头像区块链小猫作者
上一篇 2小时前
下一篇 2小时前

相关推荐

发表回复

登录后才能评论
分享本页
返回顶部