区块链安全公司Scam Sniffer披露,一名加密货币投资者因在不知情的情况下签署了一批伪装成Uniswap交易的恶意交易,遭遇单次网络钓鱼攻击损失价值近百万美元的代币。
在8月22日发布的报告中,安全研究员Xiang指出,这起事件与以太坊新推出的EIP-7702机制存在关联。他解释道:
“从被钓鱼用户的角度看,整个过程如下:用户打开钓鱼网站,弹出钱包签名提示,用户点击确认——仅此一个动作,钱包地址内所有有价值的资产瞬间消失。”
EIP-7702是通过Pectra升级引入的功能,旨在优化以太坊用户体验。该特性允许钱包充当临时智能合约,实现多笔交易批量处理、Gas费代付或支出限额设置的一步操作。
原则上这种授权可撤销且仅限特定网络,但攻击者已在实践中找到滥用该功能的途径。
加密货币做市商Wintermute警告称,该标准的实施正被大规模利用。其六月分析显示,超过90%的EIP-7702授权与恶意合约相关联。
该公司指出,这些合约多数是简单的复制粘贴脚本,可自动扫描存在漏洞的钱包并清空其资产。
有鉴于此,Scam Sniffer与Xiang敦促加密货币用户在签署钱包请求前保持高度警惕,建议采取验证域名、避免匆忙确认、拒绝含义模糊或授权范围过大的签名等防护措施。
他们还强调,需要警惕的危险信号包括:请求无限代币授权、EIP-7702下的合约升级、以及与预期不符的交易模拟。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险
自担!转载请注明出处:https://www.chaintt.cn/34728.html
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/34728.html
