新聞 
幣種資訊 
關於我們 
一名加密貨幣投資人近日遭遇精密釣魚攻擊,因誤點錢包授權簽名,損失高達 305 萬美元(約新台幣 4 億 2,395 萬元)。這起詐騙攻擊利用去中心化金融(DeFi)協議 Aave 上的 USDT 衍生代幣(aEthUSDT),在僅透過一次授權簽名的情況下,成功將資產盜走。
根據區塊鏈安全公司 Lookonchain、PeckShield 和 Scam Sniffer 的聯合分析指出,這項攻擊是藉由一個偽裝成合法交易的釣魚用智慧合約實現。受害人在與該合約互動時,未察覺授權內容所包含的資產轉出指令,等同放行所有資產。換言之,這次「点击授權」,實際上就是批准了一筆完整的資產移轉。
據安全分析,這類詐騙手法屬於一種新型「批次轉移(batch transfer)」攻擊,特別容易發生在實作 EIP-7702 標準的加密錢包上。詐騙者通常會將釣魚流程偽裝成看似正常的 Uniswap 換幣交易,讓受害者誤以為正參與一筆去中心化交易,實則將代幣轉至對方錢包。
值得注意的是,即使已經過了數月甚至一年多,舊有的授權仍可能被惡意利用。根據 Scam Sniffer 近來的警示,一名用戶因 15 個月前的授權記錄,損失了 90 萬 8,000 美元(約新台幣 1 億 2,622 萬元)。這突顯出用戶應定期檢查和移除不再需要的授權紀錄,才是確保錢包安危的關鍵。
根據 Bitget 最新報告顯示,2024 年至今,因加密詐騙導致的總損失已高達 46 億美元(約新台幣 6,394 億元),其中約 40% 與 AI 釣魚詐騙或深偽(deepfake)技術有關。Bitget 表示,詐騙集團正以愈發「高度仿真」的社交工程手法滲透使用者。
評論:這種詐騙手法的提升等級再度證明,區塊鏈「自主管理資產」的優勢同時也伴隨重大風險。用戶若不細心查驗,每一次錢包授權,恐怕都可能成為平空盜資的入口。
安全業者呼籲,無論涉及的操作多小,使用者都應做到三項基本原則:一、簽名前確認 URL 來源;二、查明授權動作是否涉及實際資產移轉;三、定期清除不明或過期授權。尤其像「批次轉移」、「DeFi 權限授權」與「KYC 騙局」這類操作,即使耗時,也應再三檢查。
目前,Bitget、SlowMist 和 Elliptic 等區塊鏈安全機構已聯手構建總值約 3 億美元(約新台幣 417 億元)的反詐欺機制中心,務求能壓制此類攻擊的蔓延。不過,專家坦承,再強的防禦系統也難以百分百即時阻擋所有攻擊,因此提醒用戶:「所有鏈上簽名,從懷疑出發,不可掉以輕心。」
關鍵詞:釣魚詐騙、批次轉移、EIP-7702、授權管理、區塊鏈資安、Uniswap 詐騙、防詐建議
留言 0