驚險一簽！加密鯨魚因惡意簽名損失 628 萬美元

一位加密貨幣巨鯨在 9 月 18 日遭遇了驚人的財富損失，僅因一次看似無害的簽名操作，導致價值超過 600 萬美元的質押以太坊（stETH）和 Aave 包裝的比特幣（aEthWBTC）被盜。區塊鏈安全公司 Scam Sniffer 報告稱，這位投資者在一次精心設計的網路釣魚攻擊中，意外批准了一個惡意「許可」簽名，讓攻擊者無需支付任何 Gas 費用就能掏空其錢包。

「無聲」攻擊：一次簽名，628 萬美元瞬間消失

（來源：X）

安全公司 SlowMist 的創辦人 Yu Xian 對這起事件進行了詳細分析，揭示了這類攻擊的恐怖之處。他表示：

「從受害者的角度來看，他只是點擊了幾次，確認了錢包中彈出的簽名，沒有花一分錢的汽油費，628 萬美元就沒了。」

這起攻擊的可怕之處在於其隱蔽性。攻擊者巧妙地將惡意操作偽裝成常規錢包確認步驟，誘騙受害者允許轉移資產而不會引起任何警告。由於交易不消耗 Gas，受害者完全沒有意識到危險，直到資產被轉移已為時已晚。

「許可」漏洞：便利性背後的致命風險

這類攻擊利用了名為「Permit」的功能漏洞。這一功能原本旨在簡化代幣轉移流程：使用者無需執行鏈上命令並支付 Gas 費用，只需簽署鏈下訊息即可授權給第三方。

然而，這種便利性也為惡意攻擊者開啟了新的攻擊面。當受害者簽署「許可證」後，攻擊者可以結合兩個函數——Permit 和 TransferFrom——直接提取資產。由於授權是在鏈下進行的，因此在資產提取之前，錢包儀錶板不會顯示任何異常活動。

結果，當交易在鏈上執行時，所有代幣都被轉移到了攻擊者的錢包。正是這個漏洞使得 Permit 攻擊越來越受到駭客的青睞，讓他們無需複雜的駭客技術或昂貴的 Gas 費用就能提取數百萬美元。

網路釣魚攻擊激增：8 月損失達 1,217 萬美元

這起事件並非孤例，而是反映出網路釣魚活動日益猖獗的趨勢。根據 Scam Sniffer 的統計數據，僅在 8 月份，攻擊者就從超過 15,200 名受害者手中竊取了 1,217 萬美元，較 7 月份驚人增長了 72%。

更令人擔憂的是，近一半的損失來自三個大型錢包，其中一個錢包在一次事件中損失了 308 萬美元。這表明攻擊者正在有針對性地鎖定高淨值加密貨幣持有者。

Scam Sniffer 分析認為，這一增長主要是由於與 EIP-7702 相關的詐騙（批量簽名詐騙）以及用戶意外直接簽署惡意合約所致。

專家建議：如何保護您的加密資產

鑑於這類攻擊的增加，安全專家提出以下建議，幫助加密貨幣用戶保護自己的資產：

· 對所有錢包簽名請求保持高度警惕，特別是那些要求授予對資產的無限制存取權限的請求

· 使用支持詳細交易預覽的硬體錢包，可以幫助識別惡意交易

· 在簽署任何許可或批准之前，仔細檢查交易詳情，確保了解您正在授權的內容

· 考慮使用多重簽名錢包或設置交易限額，以減少單點故障風險

· 定期檢查已授予的許可，並撤銷不再需要的許可

這起事件再次提醒我們，在加密貨幣世界中，即使是最簡單的操作也可能帶來巨大風險。隨著攻擊者不斷開發新的欺詐手段，保持警惕和了解最新的安全威脅變得比以往任何時候都更加重要。