奔跑财经12月10日消息,据反诈骗平台Scam Sniffer发布推文披露,一名黑客通过诱导钱包所有者签署恶意"授权"签名,窃取了超44万美元的USDC。

此类诈骗的核心在于诱骗用户签署看似合法、实则将代币使用权授予攻击者的交易。恶意去中心化应用可能伪装字段、伪造合约名称,或将签名请求伪装成常规操作。若用户未仔细核查详情,签署请求即等同于将全部ERC-20代币的支配权移交攻击者。一旦授权完成,诈骗者通常会立即转移资金。

该手法利用了以太坊的Permit功能——该功能本意是通过允许用户将代币使用权委托给可信应用来简化转账流程。但当权限被授予攻击者时,这种便捷性便成了安全漏洞。

"此类攻击的棘手之处在于,攻击者可通过单笔交易完成授权和代币转移(即砸抢式攻击),也可先获取授权权限后潜伏,等待后续资金注入再转移(只要他们在授权元数据中设置了足够长的访问期限),"Twinstake产品负责人塔拉·安尼森解释道。

"这类诈骗的成功取决于用户签署了尚未完全理解其后果的内容,"她补充称,“这完全利用了人性弱点,趁虚而入人们的急切心理。”

安尼森指出此类事件绝非孤例:“存在大量高价值、大规模的钓鱼诈骗案例,旨在诱骗用户签署他们不完全理解的内容。这些骗局常伪装成免费空投、诱导连接钱包的虚假项目着陆页,或是谎称安全检查的欺诈警告。”

用户应注意核查发送地址与合约详情。最明确的判断方式是,如果协议与实际转账目标不符,很可能就是资金窃取行为。同时需检查授权金额,他们常试图获取无限授权。

Zircuit Finance联合创始人兼技术负责人马丁·德尔卡表示,追回资金概率"基本为零"。"在网络钓鱼攻击中,对手的唯一目标就是夺取资金。没有谈判余地,没有联络渠道,甚至无法确定交易对方身份,"他指出,“攻击者玩的是概率游戏。资金一旦转移,便覆水难收。追回实质上已无可能。”