$24M 网络钓鱼劫案：代币授权如何成为黑客的金票

还记得那个在2023年9月损失了$24 百万的巨大以太坊鲸鱼吗？情节反转——他们被盗的资金上周在区块链上浮出水面，而黑客的操作手册揭示了比简单的密码泄露更危险的东西。

事情是这样的:

受害者遭遇网络钓鱼，批准了一个恶意合约，认为它是合法的。那一次点击？游戏结束。攻击者在两笔交易中从Rocket Pool中提取了9,579 stETH和4,851 rETH。3月21日，CertiK团队发现黑客将3,700 ETH (~$10M)直接转入Tornado Cash以掩盖他们的踪迹。攻击者的总收益被转换为13,785 ETH和1.64M DAI——一个经典的链上洗钱剧本。

真正的问题：代币授权成为新的攻击向量

网络钓鱼攻击不再仅仅是钓鱼攻击了。根据 Scam Sniffer，“增加额度” 功能是罪魁祸首——它允许黑客在您授权后无限制地提取您的代币。仅上个月，就有近 $47 百万在网络钓鱼方案中消失，其中 78% 发生在以太坊上，86% 涉及 ERC-20 代币。

然后就是Dolomite的混乱。3月20日，一个过时的合约被利用，盗取了$1.8M的用户资金，这些用户已经批准了该合约。同周，Layerswap也遭到攻击——黑客从50个用户那里 siphoned $100K ，在域名提供商迅速关闭之前。Layerswap正在进行退款和赔偿，但损失是真实的。

这对您意味着什么

代币批准就像给陌生人签了一张空白支票。一份恶意合约。一键失误。突然间，你的整个投资组合可能会消失。教训是什么？撤销旧的批准。仔细检查合约地址。绝不要批准无限制的代币。

加密社区正在意识到这一威胁，但教育和更好的安全工具来得太晚了。