
一名加密貨幣用戶在批准了一筆惡意的以太坊交易後,損失了近100萬美元,該交易讓詐騙者得以清空幾乎整個錢包餘額,這使得今年記錄的網路釣魚損失總額又增加了數億美元。
根據區塊鏈安全平台Scam Sniffer的說法,受害者在週三簽署了一份惡意的授權請求後,因以太坊網路釣魚代幣授權詐騙損失了999,999枚泰達幣(USDT)。
鏈上數據顯示,攻擊者最初試圖透過多重呼叫交易(multicall transactions)提取約100萬美元,但由於錢包餘額略少於該金額,轉帳未能成功。
幾秒鐘後,攻擊者調整了他們的腳本,並成功提取了該錢包確切的剩餘餘額。
Scam Sniffer表示:「該腳本重新計算並提取了確切的剩餘餘額。」
安全研究人員表示,授權式網路釣魚仍然是加密領域最常見的社交工程攻擊之一,因為用戶在認為自己正在批准一筆無害交易的同時,卻在不知情的情況下授予了無限的支出權限。
根據區塊鏈安全公司CertiK的說法,2025年期間,網路釣魚詐騙在248起事件中造成了7.23億美元的損失。在這些攻擊中,受害者通常被誘騙簽署惡意代幣授權,使攻擊者無需再次簽名即可將資金從其錢包中轉移出去。
最新這起事件發生在本月稍早報導的另一起重大錢包被盜案之後。在那起案件中,一名加密貨幣持有者在連接到一個假冒的交易所並簽署惡意智能合約後,損失了約165萬美元。
研究員Ryan Coleman週五表示:「該授權給予攻擊者無限的訪問權限,使自動掃蕩器(automated sweeper)能夠清空資金。」
最新這起網路釣魚損失發生在另一起備受矚目的鏈上事件僅數天之後,該事件突顯了加密貨幣用戶面臨的另一種風險。本週稍早,一名交易員因去中心化交易所將以太幣兌換(Ether swap)路由到流動性不足的池中,導致一筆同區塊套利交易(same-block arbitrage trade)提取了大部分交易價值,損失了近200萬美元。
根據GoPlus Security的說法,這筆損失是由於交易路由而非網路釣魚造成的,研究人員因此敦促用戶在確認鏈上交易之前仔細檢查執行路徑。
Scam Sniffer建議用戶在簽署錢包交易之前,仔細檢查每一個簽名請求,避免急於批准,並使用詐騙偵測工具或瀏覽器擴充功能。