巨鯨損失超過600萬USD因爲誤籤惡意籤名

一個加密貨幣鯨魚損失超過600萬美元，包括質押的姨太(stETH)和Aave包裝的比特幣(aEthWBTC)，因在9月18日的一次網絡釣魚攻擊中不小心批準了惡意籤名，依據區塊鏈安全公司Scam Sniffer的報告。

根據報告，攻擊者將此行爲僞裝成通過“Permit”籤名進行的常規錢包確認步驟，欺騙受害者允許轉移資產而未露出警告跡象。

Yu Xian，SlowMist安全公司的創始人表示，受害者沒有意識到由於交易不需要支付燃料費而造成的危險。他寫道：

“從受害者的角度來看，他只是點擊了幾次以確認從錢包彈出的籤名窗口，沒花一分錢的燃料費，6.28百萬美元就消失了。”

Permit 漏洞利用的工作原理

“Permit”功能旨在簡化代幣轉移。用戶可以簽署一條鏈外消息以授權他人，而不是執行一條鏈上的指令並支付燃氣費。

然而，正是這種便利性爲惡意攻擊者打開了新的攻擊面。當受害者簽署一個“許可”時，攻擊者可以結合兩個功能——許可和轉移——來直接提取資產。由於授權發生在鏈外，錢包控制面板在資產被提取之前不會顯示異常活動。

結果是當交易在鏈上執行時，所有的代幣都被轉移到了攻擊者的錢包。這是一個漏洞，使得Permit exploit越來越成爲黑客的首選工具，允許他們在不需要復雜的黑客技術或高昂的gas費用的情況下提取數百萬美元。

釣魚攻擊造成的損失增加

此次事件反映出網絡釣魚活動強烈增加的趨勢。

根據Scam Sniffer，單在8月份，攻擊者已從超過15,200名受害者那裏竊取了1217萬美元，比7月份增加了72%。值得注意的是，近一半的損失來自三個大錢包，其中一個錢包在一次交易中損失了308萬美元。

公司認爲這一增長主要源於與EIP-7702 (批量籤名騙局)相關的欺詐行爲，以及用戶不小心直接轉帳到惡意合約。

在這種情況下，安全專家建議加密貨幣用戶在簽署來自錢包的請求時必須保持高度警惕，特別是要避免對自己的資產授予無限訪問權限。

王遷