$24M 網絡釣魚劫案：代幣授權如何成爲黑客的金票

還記得那個在2023年9月損失了$24 百萬的巨大乙太坊鯨魚嗎？情節反轉——他們被盜的資金上周在區塊鏈上浮出水面，而黑客的操作手冊揭示了比簡單的密碼泄露更危險的東西。

事情是這樣的:

受害者遭遇網絡釣魚，批準了一個惡意合約，認爲它是合法的。那一次點擊？遊戲結束。攻擊者在兩筆交易中從Rocket Pool中提取了9,579 stETH和4,851 rETH。3月21日，CertiK團隊發現黑客將3,700 ETH (~$10M)直接轉入Tornado Cash以掩蓋他們的蹤跡。攻擊者的總收益被轉換爲13,785 ETH和1.64M DAI——一個經典的鏈上洗錢劇本。

真正的問題：代幣授權成爲新的攻擊向量

網絡釣魚攻擊不再僅僅是釣魚攻擊了。根據 Scam Sniffer，“增加額度” 功能是罪魁禍首——它允許黑客在您授權後無限制地提取您的代幣。僅上個月，就有近 $47 百萬在網絡釣魚方案中消失，其中 78% 發生在以太坊上，86% 涉及 ERC-20 代幣。

然後就是Dolomite的混亂。3月20日，一個過時的合約被利用，盜取了$1.8M的用戶資金，這些用戶已經批準了該合約。同周，Layerswap也遭到攻擊——黑客從50個用戶那裏 siphoned $100K ，在域名提供商迅速關閉之前。Layerswap正在進行退款和賠償，但損失是真實的。

這對您意味着什麼

代幣批準就像給陌生人籤了一張空白支票。一份惡意合約。一鍵失誤。突然間，你的整個投資組合可能會消失。教訓是什麼？撤銷舊的批準。仔細檢查合約地址。絕不要批準無限制的代幣。

加密社區正在意識到這一威脅，但教育和更好的安全工具來得太晚了。