一次價值44萬美元的攻擊揭示了以太坊上「授權」詐騙日益嚴重的威脅

来源：PortaldoBitcoin 原始标题：US$ 44万攻击揭示以太坊“授权”诈骗日益严重的威胁 原始链接： 一名黑客在一名钱包所有者无意中签署一份恶意“授权”签名后，窃取了超过US$ 440,000的USDC。

这起盗窃发生在钓鱼攻击损失增加的背景下。11月，超过6,000名受害者损失了约US$ 777万，比10月的总损失增长了137%，尽管受害者人数减少了42%。

“鲸鱼猎杀愈演愈烈，最高损失达到US$ 122万(授权签名)。尽管攻击次数减少，但单次损失显著增加。”

什么是授权诈骗？

基于授权的诈骗是指欺骗用户签署一笔看似合法的交易，但实际上授予攻击者支出其代币的权限。恶意的去中心化应用程序(dApps)可能会伪装界面、假冒合约名称，或将签名请求包装成常规操作。

如果用户没有仔细检查细节，签署请求就会授予攻击者访问用户所有ERC-20代币的权限。一旦权限被授予，诈骗者通常会立即转移资金。

此方法利用以太坊的授权功能，该功能本为简化代币转账而设计，允许用户将支出权限委托给可信应用程序。这种便利在被授予攻击者权限时变成了漏洞。

“这类攻击特别复杂的一点在于，攻击者可以在一次交易中完成授权和转账(‘一击即中’的策略)，或者通过授权获得访问权限后保持不动，等待后续转移资金(只要在权限元数据中设定了足够长的访问期限)。”

“这类诈骗的成功取决于你是否在没有完全了解情况的情况下签署了某些内容。归根结底，这是人性弱点，利用人们的天真。”

有许多高价值、大规模的钓鱼诈骗案例，旨在欺骗用户，让他们签署自己不完全理解的内容。这些骗局常以免费发放资金、伪造项目着陆页连接你的钱包，或虚假的安全警报等形式出现。

如何防范

数字钱包提供商已增加了更多保护功能。例如，MetaMask会在检测到网站可疑时提醒用户，并尝试将交易数据翻译成易懂的语言。其他钱包也会突出显示高风险操作。但骗子仍在不断适应。

建议用户核查发件地址和合约细节。“这是最清楚判断协议是否偏离资金实际用途的方法，因为很可能有人在试图盗走你的资产。你可以核对金额；他们常会试图授予无限权限。”

监控仍然是用户最好的防线。“防止‘permit’类诈骗的最佳方式是确保你清楚自己正在签署什么。交易中实际上会执行哪些操作？使用的哪些功能？它们是否符合你当初的预期？”

“许多钱包和去中心化应用都改进了用户界面，确保你不会盲签，同时能看到操作结果，还会对高风险功能发出警告。然而，用户需要主动确认自己签署的内容，而不是仅仅连接钱包然后点击‘签名’。”

资金一旦被盗，几乎不可能找回。在钓鱼攻击中，你面对的通常是只想盗走你资金的个人，没有谈判余地，没有联系点，甚至不知道对方是谁。

“这些攻击者靠数字作战。一旦钱被转走，就永远无法挽回。恢复几乎不可能。”