一次價值44萬美元的攻擊揭示了以太坊上「授權」詐騙日益嚴重的威脅

來源：PortaldoBitcoin 原始標題：一場價值44萬美元的攻擊揭示以太坊上「授權」詐騙日益嚴重的威脅 原始連結：

根據Scam Sniffer於週一(8)的推文，一名駭客在錢包持有人不知情的情況下，簽署了一份惡意的「授權」簽名後，竊取了超過44萬美元的USDC。

這起盜竊事件發生之際，釣魚詐騙損失不斷上升。根據Scam Sniffer的每月報告，11月有超過6,000名受害者損失約777萬美元，較10月總損失增加137%，即使受害人數下降了42%。

「針對巨鯨的狩獵行動有所加劇，單筆最大損失高達122萬美元(授權簽名)。儘管攻擊次數減少，單筆損失卻明顯增加。」該公司指出。

什麼是授權詐騙？

授權型詐騙是指誘騙用戶簽署看似合法、實際卻賦予攻擊者花費其代幣權利的交易。惡意去中心化應用(dapps)可能偽裝欄位、偽造合約名稱，或將簽署請求包裝成例行操作。

若用戶未仔細檢查細節，簽署請求就會授權攻擊者存取用戶所有的ERC-20代幣。一旦授權成功，詐騙者通常會立即將資金掏空。

這種手法利用了以太坊的授權功能，該功能設計初衷是為了方便用戶將花費權限委託給可信賴的應用程式。這項便利性在權限落入攻擊者手中時，就成了漏洞。

「這種類型攻擊特別棘手的地方在於，攻擊者可以在單一交易中同時完成授權與轉移代幣(一種『打劫式』方式)，也可以僅授權，之後保持靜默，等待用戶未來存入更多資金時再行動(只要他們在授權函數的元資料中設定足夠長的存取期限)。」Twinstake產品主管Tara Annison表示。

「這類詐騙之所以能成功，關鍵在於你簽署的內容其實並不完全明白會發生什麼。」她補充：「歸根究柢都是人性漏洞，以及利用人們的單純。」

Annison補充，這種事件遠非個案。「有許多高額高頻的釣魚詐騙案例，專為誤導用戶簽署他們根本沒搞懂的內容而設計。這些詐騙常常偽裝成空投、假的項目連結頁或假冒安全警告等。」

如何自我防護

數位錢包服務商已陸續新增更多安全防護功能。以MetaMask為例，若網站有可疑之虞，會警告用戶，並嘗試將交易資料轉換為人類可讀的語言。其他錢包亦會標示高風險操作。但詐騙者仍會不斷變化手法。

Circuit創辦人兼執行長Harry Donnelly表示，「permit」類攻擊「相當普遍」，並建議用戶務必檢查發送者地址及合約細節。

「這是辨識協議是否與實際資金流向吻合的最直接方法，因為很可能有人正企圖竊取你的資產。」他說。「你可以檢查授權金額；他們通常會試圖獲得無限授權。」

Annison強調，使用者警覺心仍是最佳防線。「防範『permit』、『applianceAll』或『transferFrom』型詐騙的最佳方法，就是確認你知道自己在簽什麼。這筆交易實際會執行哪些動作？用到哪些函數？這些內容是否與你原本預期一致？」

「許多錢包及去中心化應用(dapps)已經改善介面，確保你不會盲目簽署，能看懂結果，並對高風險函數給予警告。不過，使用者主動確認簽署內容依然很重要，千萬不要只是連接錢包後就一鍵簽名。」她說。

一旦資金被盜，追回的可能性極低。Zircuit Finance共同創辦人暨技術長Martin Derka表示，資金追回的機率「幾乎是零」。

「遇到釣魚攻擊時，對方唯一目標就是偷你的資金。沒有談判空間，沒有聯絡窗口，通常也完全不知道對方是誰。」他說。

「這些攻擊者玩的是數字遊戲，」Derka補充，「一旦錢被轉走，就永遠回不來了，基本上無法追回。」