一项44万美元攻击揭示了以太坊上“授权”骗局日益增长的威胁

来源：PortaldoBitcoin 原题：440万美元攻击揭示的以太坊“授权”诈骗日益严重 原链接： 一名黑客在钱包所有者无意中签署一份恶意“授权”签名后，窃取了超过440,000美元的USDC。

此次盗窃发生在钓鱼损失增加的背景下。仅11月，超过6,000名受害者共损失约770万美元，较10月总损失增加了137%，尽管受害者数量减少了42%。

“鲸鱼追捕变得更加激烈，最大损失达122万美元(授权签名)。尽管攻击次数减少，但单次损失显著增加。”

什么是授权诈骗？

基于授权的骗局是指通过欺骗用户签署一笔看似合法的交易，实际上赋予攻击者花费其代币的权限。恶意的去中心化应用(dapps)可能会伪装字段、篡改合约名称或将签名请求表现得像日常操作。

如果用户不仔细检查细节，签署请求就会授予攻击者访问用户所有ERC-20代币的权限。一旦权限被授予，骗子通常会立即提取资金。

此方法利用以太坊的授权功能，该功能旨在方便转账，允许用户将支出权限委托给可信应用。当这些权限被授予攻击者时，这种便利性就变成了漏洞。

“这种攻击特别复杂之处在于，攻击者可以在单笔交易中同时完成授权和转账(‘打碎和抢夺’的做法)，或者先获得权限后保持不行动，等待稍后转移任何新加入的资金(只要在授权元数据中设置了足够长的访问期限)。”

“此类诈骗的成功依赖于你签署的内容而没有完全理解会发生什么。一切归结于人为的脆弱性和利用人们的天真。”

有许多高价值、高量的钓鱼诈骗案例，旨在诱骗用户签署自己完全不理解的内容。这些骗局常通过免费发放资金、伪造项目着陆页以连接钱包或虚假的安全提醒来伪装。

如何防范

钱包提供商已增加了更多保护措施。例如，MetaMask会提醒用户如果某个网站看起来可疑，并尝试将交易数据转换成易于理解的语言。其他钱包也会强调高风险操作。但诈骗者仍在不断适应。

建议用户核实发件人地址和合约细节。“这是判断协议是否真正对应资金去向的最清晰方式，因为很可能有人试图偷走你的资产。你可以检查金额；他们常试图授予无限批准权限。”

监控依然是用户最好的防线。“防止‘permit’类骗局的最佳方法是确保你知道自己在签署什么。交易中会执行哪些操作？调用了哪些函数？它们与您预期签署的内容一致吗？”

“许多钱包和去中心化应用都改进了用户界面，以确保你不会盲目签署任何内容，并能看到结果，还会提示高风险函数。但用户应主动检查自己签署的内容，而不仅仅是连接钱包然后点击签署。”

一旦资金被盗，追回几乎不可能。在钓鱼攻击中，你面对的是只为盗取你的资产而存在的个体。没有协商、没有联系方式，很多时候甚至不知道对方是谁。

“这些攻击者靠数字作战。一旦资金转移，就永远无法挽回。追回几乎不可能。”