加密巨鲸因针对质押以太坊的钓鱼骗局损失600万美元

CHAINTT • 2025年9月22日下午12:36 • 资讯 • 阅读 37

据区块链安全公司Scam Sniffer披露，9月18日一名加密巨鲸在钓鱼骗局中签署恶意签名，损失了超600万美元的质押以太坊（stETH）和Aave封装比特币（aEthWBTC）。

该公司指出，攻击者通过”Permit“签名将操作伪装成常规钱包确认，诱骗受害者在未触发明显风险提示的情况下授权资金转移。

区块链安全公司慢雾创始人余弦表示，由于该交易无需支付燃气费，受害者未能识别风险。他在文中写道：

“从受害者视角，他只是点击几次确认钱包弹窗的签名请求，没花一分钱燃气费，628万美元就消失了。”

Table of Contents

Permit漏洞的运作机制

Permit授权最初旨在简化代币转移流程。用户无需提交链上授权并支付费用，只需签署链外消息即可授权支出方。

然而这种便利性也为恶意行为者创造了新的攻击面。

一旦用户签署此类许可，攻击者可结合Permit与TransferFrom两个功能直接转移资产。由于授权发生在链外，资金转移前钱包面板不会显示异常活动。

最终当授权在链上执行时，资产已被转移至攻击者钱包。

该漏洞使得Permit攻击对恶意行为者吸引力大增，他们无需复杂黑客技术或高昂燃气费竞争即可窃取数百万资金。

本次盗窃事件反映出网络钓鱼攻击持续升级的广泛趋势。

Scam Sniffer报告显示，仅8月份攻击者就从15,200余名受害者处窃取1,217万美元，较7月损失额激增72%。

据该公司数据，8月损失主要来自三个大型账户，其损失金额占总损失近半。其中包括单个钱包在一次攻击中损失308万美元的案例。

该机构将损失激增归因于EIP-7702批量签名诈骗及直接向恶意合约转账案例的增加。

鉴于此，安全专家敦促加密用户在处理钱包请求时保持警惕，拒绝授予钱包无限权限的要求。