44萬美元駭客事件揭露以太坊上「許可」詐騙威脅

根據反釣魚平台 Scam Sniffer 週一發布的警告，一名駭客在一名錢包持有人意外簽署惡意「許可證」簽名後，竊取了超過 44 萬美元的 USDC。

此事件發生在網路釣魚攻擊造成的損害急劇增加之際。僅十一月，就從超過6,000名受害者中提取了約777萬美元——較十月增加了137%，儘管受害者人數下降了42%。

報告指出，「捕鯨」持續增加，最大案件僅憑一張許可證就達到122萬美元，顯示雖然案件數量減少，但每位受害者的損害程度顯著增加。

什麼是許可證詐騙？

許可證詐騙利用誘使用戶簽署看似合法的交易，實際上卻賦予攻擊者使用金錢的權利。許多惡意 dApp 會偽裝內容、偽造合約名稱，或建立看似例行作業的簽署請求。

如果使用者沒有再三確認，該簽名就會讓攻擊者完全有權在錢包中使用 ERC-20 代幣。一旦取得執照，他們通常會立即耗盡資金。

此方法利用以太坊的許可功能——旨在促進可信應用的支出授權。然而，當這項權利落入錯誤之手時，便利性反而成為缺陷。

一項新的跨機構倡議已啟動，旨在瓦解國際加密詐騙網絡，特別是近年來造成數十億美元損失的「豬屠宰」模式。許多機構，如司法部、聯邦調查局、特勤局及美國財政部，將協調打擊這些犯罪集團。

為什麼許可證詐騙這麼難辨識？

Twinstake 產品主管 Tara Annison 表示，攻擊者可能在單一交易中提領資金，或等待受害者在錢包中充入更多代幣後才行動——只要他們設定了足夠的簽名有效期。

「這類詐騙的成功關鍵在於用戶簽署了他們不懂的東西。它利用主觀性和人類的衝動性，」她說。

她也說這並不罕見。許多高價值的網路釣魚攻擊常冒充免費空投、假專案網站或假安全警示，誘使用戶連結錢包並簽署交易。

加密錢包增加了警示——但還不夠

像 MetaMask 這類錢包已新增可疑網站警示，並將交易資料格式改為更易理解。其他一些錢包也會強調高風險操作。然而，攻擊者不斷改變戰術。

Circuit 創辦人 Harry Donnelly 警告說，基於許可的攻擊「相當普遍」，用戶需要檢查發送地址、相關合約，尤其是授權限制——許多情況下，惡意行為者會要求無限消費權限。

如何保護自己

Annison 強調，再次確認你即將簽署的內容仍是最重要的防線：

• 了解簽署後將發生的行動
• 檢查所呼叫的函式是否適用於你想要的操作
• 不要因為 dapp 要求或承諾能獲得獎勵就簽字

許多錢包已經改進了介面，讓使用者更容易理解，但仍然需要用戶自己保持警覺。

根據Zircuit Finance共同創辦人Martin Derka的說法，拿回這筆錢的可能性「幾乎為零」。

他說，在網路釣魚攻擊中，受害者不知道對方是誰，沒有聯絡點，攻擊者只有一個目標：拿錢然後消失。「錢一旦沒了，就沒了，」他說。

達山