一项44万美元攻击揭示了以太坊上“授权”骗局日益增长的威胁

来源：PortaldoBitcoin 原文标题：一次价值44万美元的攻击揭示了以太坊上“授权”骗局日益增长的威胁 原文链接：

一名黑客在一名钱包持有者无意中签署了恶意“授权”签名后，窃取了超过44万美元的USDC，根据Scam Sniffer周一在推特上的消息(8)。

此次盗窃发生之际，钓鱼损失正在增加。根据Scam Sniffer的月度报告，11月有超过6,000名受害者共损失了约777万美元，总损失较10月增加了137%，即便受害者数量下降了42%。

“对鲸鱼的猎捕愈发激烈，最大单笔损失达122万美元(授权签名)。尽管攻击次数减少，但单笔损失显著增加。”该公司指出。

什么是授权类骗局？

基于授权的骗局是通过欺骗用户签署一笔看似合法的交易，实则授予攻击者花费其代币的权利。恶意去中心化应用(dapps)可能会伪装字段、伪造合约名称，或将签名请求伪装成常规操作。

如果用户未认真检查详情，签署请求将授权攻击者访问其所有ERC-20代币。一旦授权，骗子通常会立即转走资金。

这一方法利用了以太坊的授权功能，该功能旨在方便用户将花费权委托给可信应用。但当这些权利被授予攻击者时，这种便利性就成了漏洞。

“这种攻击格外棘手之处在于，攻击者可以在一笔交易中完成授权和代币转移(类似‘砸抢’的一次性操作)，也可以通过授权获得访问权后，保持不活跃，等待你后续存入新资金时再转走(只要在授权功能的元数据中设置足够长的访问期限)，”Twinstake产品负责人Tara Annison表示。

“这类骗局之所以能得逞，关键在于你签署了你并不完全理解的内容，”她补充说，“归根结底，这是利用人性的脆弱和人们的无知。”

Annison补充称，这一事件远非个案。“有大量高价值和大批量的钓鱼骗局，专门欺骗用户签署他们根本没完全理解的内容。这些骗局常常伪装成空投、伪造项目的钓鱼落地页，或冒充安全警告让你检查自己是否受影响。”

如何保护自己

数字钱包提供方已经增强了更多安全防护功能。例如MetaMask会在网站可疑时警告用户，并尝试将交易数据翻译成人类可读的语言。其他钱包也会突出高风险操作。但骗子仍在不断适应。

Circuit创始人兼CEO Harry Donnelly表示，“permit”类攻击“相当常见”，建议用户核查发件人地址和合约细节。

“这是判定协议是否与实际资金流向一致的最直接方式，否则很可能有人在试图盗取你的资金，”他说。“你还可以核查额度；他们通常会试图授权无限额度，比如这类情况。”

Annison强调，用户保持警惕仍是最佳防御方式。“防范‘permit’、‘applianceAll’或‘transferFrom’类骗局的最佳办法，就是确保你清楚自己在签署什么。这笔交易到底会执行什么操作？用了哪些函数？它们和你认为要签署的内容一致吗？”

“许多钱包和去中心化应用(dapps)已经改进了用户界面，确保你不会盲目签署，并能看到结果，同时对高风险函数发出警告。但用户务必主动核查自己签署的内容，而不是只连接钱包后就盲目点击签名。”她表示。

一旦资金被盗，追回几乎不可能。Zircuit Finance联合创始人兼技术负责人Martin Derka表示，追回资金的几率“几乎为零”。

“在钓鱼攻击中，你面对的是唯一目标就是盗取你资金的个人。没有协商、没有联系方式，通常也根本不知道对方是谁，”他说。

“这些攻击者就是以量取胜，”Derka补充道，“一旦资金被盗，就永远回不来了。基本不可能追回。”