加密貨幣中的許可詐騙涉及誘騙用戶簽署惡意批准,使攻擊者能夠訪問他們的代幣,導致重大損失,如最近的44萬美元USDC被盜案例。這些網絡釣魚攻擊利用以太坊的許可功能實現更簡便的代幣轉移,但警惕是預防的關鍵。
-
2025年12月8日,一個惡意許可簽名導致一名用戶損失了440,358美元的USDC。
-
2025年11月,網絡釣魚損失激增了137%,儘管事件數量減少,但總計損失達到了777萬美元,影響了超過6,000名受害者。
-
根據Scam Sniffer的報告,詐騙者針對高價值錢包,最大的單筆許可詐騙金額達到了122萬美元。
了解加密貨幣中的許可詐騙如何從一名受害者那裡竊取了44萬美元——學習風險、預防技巧和網絡釣魚攻擊的上升趨勢,以便今天更安全地管理錢包。
什麼是加密貨幣中的許可詐騙?
加密貨幣中的許可詐騙是一種欺騙性策略,攻擊者通過看似合法的交易簽名誘騙用戶批准未經授權訪問其數字資產。這些詐騙利用以太坊的許可功能,該功能原本設計用於簡化代幣批准流程,但惡意行為者利用它立即竊取資金。在Scam Sniffer於2025年12月8日報告的最近一個案例中,一名用戶在簽署假許可後損失了440,358美元的USDC,這凸顯了在2025年11月網絡釣魚損失增加了137%達到777萬美元的情況下,威脅正在增長。
基於許可的網絡釣魚攻擊如何運作?
基於許可的網絡釣魚攻擊始於詐騙者創建模仿受信任平台的假去中心化應用程序或網站。用戶被提示連接他們的錢包並簽署一個"許可"交易,這看起來很常規,但實際上將無限制的支出權限委託給了攻擊者。這利用了ERC-20標準的許可功能,允許鏈下批准以降低燃氣費並簡化交互。
一旦簽署,攻擊者可以在沒有用戶進一步輸入的情況下執行轉賬。例如,Scam Sniffer的分析顯示,在2025年11月,此類詐騙影響了超過6,000名受害者,損失從10月增加了137%,儘管受害者數量降低了42%。這表明詐騙者轉向"鯨魚獵捕",針對更大的持有量以獲取更大的收益——最大記錄的許可詐騙竊取了122萬美元。
專家強調了這些攻擊的微妙性。Twinstake產品負責人Tara Annison解釋說,詐騙者經常將許可偽裝成免費空投、假項目頁面或安全檢查的一部分。"這類詐騙的成功依賴於你簽署了一些你並不完全了解其作用的東西,"她指出。"這完全是關於人類的脆弱性和利用人們的渴望。"
Annison進一步詳述了攻擊者如何能夠在單次交易中立即竊取資金,或設置長期訪問權限,潛伏直到添加更多資產。這種潛伏使檢測變得更加困難,因為許可的截止日期可以延伸到遙遠的未來。根據Scam Sniffer的月度報告,這些方法已經加強,即使整體攻擊量減少,個人損失也顯著增長。
區塊鏈分析的支持數據顯示,以太坊仍然是主要戰場,但類似的漏洞存在於各種EVM兼容鏈中。像MetaMask這樣的錢包提供商已經引入了保障措施,如將意圖解碼為普通語言的交易模擬器,但詐騙者通過欺騙合約名稱或在簽名請求中隱藏字段來適應。
常見問題
如果你懷疑自己成為加密貨幣許可詐騙的受害者,應該怎麼做?
如果你懷疑遭遇了加密貨幣許可詐騙,立即從任何可疑網站斷開你的錢包連接,並使用像Etherscan的代幣批准檢查器這樣的工具撤銷所有批准。聯繫你的錢包提供商尋求支持,密切監控你的賬戶,並向像Scam Sniffer這樣的平台報告事件。恢復資金的可能性很小,但迅速行動可以防止進一步損失——在幾小時內採取行動以減輕損害。
如何識別和避免加密貨幣交易中的惡意許可簽名?
要識別加密貨幣交易中的惡意許可簽名,在簽署前始終檢查交易詳情:將合約地址與已知的合法地址進行比對,並留意無限制的批准金額。使用具有內置警告功能的錢包,如MetaMask的風險警報,並避免連接到未經驗證的dApps。Circuit創始人兼CEO Harry Donnelly建議驗證發送者地址,並確保它們與你預期的協議匹配,以有效阻止盜竊嘗試。
關鍵要點
- 許可詐騙利用信任:它們模仿合法批准以授予攻擊者代幣訪問權限,正如Scam Sniffer報告的44萬美元USDC損失所示。
- 損失正在升級:2025年11月網絡釣魚總額達到了777萬美元,比10月增加了137%,重點關注高價值目標,單次損失高達122萬美元。
- 警惕至關重要:仔細檢查簽名,使用保護性錢包功能,並定期撤銷不必要的批准,以保護你的加密資產。
結論
加密貨幣中的許可詐騙代表著一種持續且不斷演變的威脅,正如44萬美元USDC被盜以及2025年11月網絡釣魚損失激增至777萬美元所證明的那樣。通過了解這些攻擊如何武器化以太坊的許可功能,並聽取Twinstake的Tara Annison和Circuit的Harry Donnelly等專家的建議,用戶可以通過仔細驗證和先進的錢包工具來加強他們的防禦。隨著加密生態系統的成熟,保持信息靈通和積極主動將至關重要——今天就實施這些策略來保護你的投資,並為更安全的去中心化未來做出貢獻。
這一事件突顯了該領域持續教育的必要性。Zircuit Finance的聯合創始人兼技術負責人Martin Derka強調,從此類網絡釣魚攻擊中恢復的可能性"基本為零",因為詐騙者匿名運作並優先快速竊取資金。預防仍然是最強大的盾牌:始終仔細檢查你簽署的內容,利用改進的dApp界面提高透明度,並避免在錢包連接時倉促行事。
更廣泛的趨勢顯示詐騙者正在完善他們的策略,從即時的搶劫式轉賬到隱蔽的長期訪問。Scam Sniffer的報告強調受害者數量降低了42%,但每次事件的損失巨大,表明針對性更加複雜。錢包創新,如MetaMask的人類可讀翻譯和高風險警告,提供了希望,但用戶意識是不可替代的。
在這種環境下,像Scam Sniffer這樣的權威來源提供了至關重要的追踪,揭示模式而不是猜測。他們在2025年12月8日關於440,358美元USDC損失的警報作為一個嚴峻的提醒。對於那些在加密世界中導航的人來說,將這些見解整合到日常實踐中可以避免災難並促進更安全的參與。
來源:https://en.coinotag.com/user-loses-440k-in-usdc-after-signing-malicious-permit-in-phishing-attack
