据区块链安全公司Scam Sniffer披露,9月18日一名加密巨鲸在钓鱼骗局中签署恶意签名,损失了超600万美元的质押以太坊(stETH)和Aave封装比特币(aEthWBTC)。
该公司指出,攻击者通过”Permit“签名将操作伪装成常规钱包确认,诱骗受害者在未触发明显风险提示的情况下授权资金转移。
区块链安全公司慢雾创始人余弦表示,由于该交易无需支付燃气费,受害者未能识别风险。他在文中写道:
“从受害者视角,他只是点击几次确认钱包弹窗的签名请求,没花一分钱燃气费,628万美元就消失了。”
Permit漏洞的运作机制
Permit授权最初旨在简化代币转移流程。用户无需提交链上授权并支付费用,只需签署链外消息即可授权支出方。
然而这种便利性也为恶意行为者创造了新的攻击面。
一旦用户签署此类许可,攻击者可结合Permit与TransferFrom两个功能直接转移资产。由于授权发生在链外,资金转移前钱包面板不会显示异常活动。
最终当授权在链上执行时,资产已被转移至攻击者钱包。
该漏洞使得Permit攻击对恶意行为者吸引力大增,他们无需复杂黑客技术或高昂燃气费竞争即可窃取数百万资金。
网络钓鱼损失现状
本次盗窃事件反映出网络钓鱼攻击持续升级的广泛趋势。
Scam Sniffer报告显示,仅8月份攻击者就从15,200余名受害者处窃取1,217万美元,较7月损失额激增72%。
据该公司数据,8月损失主要来自三个大型账户,其损失金额占总损失近半。其中包括单个钱包在一次攻击中损失308万美元的案例。
该机构将损失激增归因于EIP-7702批量签名诈骗及直接向恶意合约转账案例的增加。
鉴于此,安全专家敦促加密用户在处理钱包请求时保持警惕,拒绝授予钱包无限权限的要求。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险
自担!转载请注明出处:https://www.chaintt.cn/42681.html
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/42681.html
