惊险一签！加密鲸鱼因恶意签名损失 628 万美元

一位加密货币巨鲸在 9 月 18 日遭遇了惊人的财富损失，仅因一次看似无害的签名操作，导致价值超过 600 万美元的质押以太坊（stETH）和 Aave 包装的比特币（aEthWBTC）被盗。区块链安全公司 Scam Sniffer 报告称，这位投资者在一次精心设计的网路钓鱼攻击中，意外批准了一个恶意「许可」签名，让攻击者无需支付任何 Gas 费用就能掏空其钱包。

「无声」攻击：一次签名，628 万美元瞬间消失

（来源：X）

安全公司 SlowMist 的创办人 Yu Xian 对这起事件进行了详细分析，揭示了这类攻击的恐怖之处。他表示：

「从受害者的角度来看，他只是点击了几次，确认了钱包中弹出的签名，没有花一分钱的汽油费，628 万美元就没了。」

这起攻击的可怕之处在于其隐蔽性。攻击者巧妙地将恶意操作伪装成常规钱包确认步骤，诱骗受害者允许转移资产而不会引起任何警告。由于交易不消耗 Gas，受害者完全没有意识到危险，直到资产被转移已为时已晚。

「许可」漏洞：便利性背后的致命风险

这类攻击利用了名为「Permit」的功能漏洞。这一功能原本旨在简化代币转移流程：使用者无需执行链上命令并支付 Gas 费用，只需签署链下讯息即可授权给第三方。

然而，这种便利性也为恶意攻击者开启了新的攻击面。当受害者签署「许可证」后，攻击者可以结合两个函数——Permit 和 TransferFrom——直接提取资产。由于授权是在链下进行的，因此在资产提取之前，钱包仪表板不会显示任何异常活动。

结果，当交易在链上执行时，所有代币都被转移到了攻击者的钱包。正是这个漏洞使得 Permit 攻击越来越受到骇客的青睐，让他们无需复杂的骇客技术或昂贵的 Gas 费用就能提取数百万美元。

网路钓鱼攻击激增：8 月损失达 1,217 万美元

这起事件并非孤例，而是反映出网路钓鱼活动日益猖獗的趋势。根据 Scam Sniffer 的统计数据，仅在 8 月份，攻击者就从超过 15,200 名受害者手中窃取了 1,217 万美元，较 7 月份惊人增长了 72%。

更令人担忧的是，近一半的损失来自三个大型钱包，其中一个钱包在一次事件中损失了 308 万美元。这表明攻击者正在有针对性地锁定高净值加密货币持有者。

Scam Sniffer 分析认为，这一增长主要是由于与 EIP-7702 相关的诈骗（批量签名诈骗）以及用户意外直接签署恶意合约所致。

专家建议：如何保护您的加密资产

鉴于这类攻击的增加，安全专家提出以下建议，帮助加密货币用户保护自己的资产：

· 对所有钱包签名请求保持高度警惕，特别是那些要求授予对资产的无限制存取权限的请求

· 使用支持详细交易预览的硬体钱包，可以帮助识别恶意交易

· 在签署任何许可或批准之前，仔细检查交易详情，确保了解您正在授权的内容

· 考虑使用多重签名钱包或设置交易限额，以减少单点故障风险

· 定期检查已授予的许可，并撤销不再需要的许可

这起事件再次提醒我们，在加密货币世界中，即使是最简单的操作也可能带来巨大风险。随着攻击者不断开发新的欺诈手段，保持警惕和了解最新的安全威胁变得比以往任何时候都更加重要。