投資者在假冒的Uniswap上僅在一次點擊中損失了100萬美元

一場網絡釣魚攻擊導致一位加密貨幣投資者損失近100萬美元，因爲他不小心簽署了一系列僞裝成Uniswap上的交換的惡意交易，報告來自區塊鏈安全公司Scam Sniffer。

在8月22日，SlowMist的創始人餘翔表示，涉及通過以太坊新EIP-7702機制的挖礦交易被盜的5種代幣的事件。

他解釋道：“從用戶被攻擊的角度來看，過程如下：他們打開一個釣魚網站，錢包籤名對話框彈出，他們點擊確認，僅僅通過一個動作，錢包中的所有有價值資產立刻消失。”

EIP-7702 和新風險

EIP-7702在Pectra升級中被引入，以改善以太坊用戶體驗。該功能允許錢包作爲一個臨時智能合約運作，支持同時進行多筆交易，允許資助gas費用或在一步中設定支出限額。

原則上，這個授權是可以撤回的，並且只適用於特定的網路。然而，實際上，攻擊者已經找到利用這一機制的方法。

來自安全社區的警告

市場制造商Wintermute警告稱這一標準的實施正受到廣泛利用。該公司的6月分析顯示，超過90%的EIP-7702授權與惡意合約相關。許多合約只是簡單的復制粘貼代碼，自動掃描並從易受攻擊的錢包中提取資產。

Scam Sniffer和餘翔建議用戶在簽署錢包請求前需要謹慎。預防措施包括：仔細檢查域名，不要急於確認，並拒絕模糊或範圍過大的籤名。

一些警告跡象包括：請求授予無限支出權限，升級合約至EIP-7702或模擬交易不符合預期。

石生