$908K 被盜與 458 天前的錢包批準有關的網絡釣魚

在一個鮮明的提醒中，舊錯誤如何困擾Web3用戶，一款加密錢包因網絡釣魚詐騙損失了超過$908,000的USDC。根據Scam Sniffer的帖子，這起盜竊是由受害者在458天前簽署的一個批準引發的，這個批準早已被遺忘但仍然有效。攻擊者利用該權限直接從受害者的錢包轉移資金到一個網絡釣魚地址。

這筆交易發生在8月2日早些時候，是由一個被稱爲Pink Drainer的釣魚操作團體執行的。該批準一直未被檢查並保持開放，使得攻擊者在時機來臨時獲得了完全的訪問權限。

事情是如何發生的

智能合約授權允許去中心化應用 (dApps) 代表用戶移動代幣。雖然對去中心化金融至關重要，但這些權限會一直保持有效，直到手動撤銷。在這種情況下，受害者在一年多前簽署了一個授權。攻擊者利用了這一訪問權限，在一次交易中 siphoning 走了近一百萬美元。

安全研究人員警告稱，即使是舊的、看似無害的批準也可能被惡意行爲者重新利用。只需要一次失誤，一個惡意網站，一個假冒的dApp，或是一個過時的連接，攻擊者就可以出手。

代幣授權：一種隱祕的風險

許多用戶忘記了智能合約的批準不是時間限制的。如果你曾經在 DeFi 應用程序上點擊過“批準”，那麼該權限可能仍然有效。這就是爲什麼安全專家敦促用戶定期檢查他們的代幣授權。

爲了安全，用戶應該養成使用安全工具的習慣。Etherscan 的代幣授權頁面和 Debank 可以幫助用戶檢查和取消不必要的權限。這只需要幾分鍾，但可以節省數千。

不是第一，也不是最後

這一事件加入了越來越多類似案例的行列。在過去的一年中，幾位用戶因未撤銷批準而損失了資金。詐騙嗅探器和其他鏈上監視工具，如PeckShield，已經多次標記利用遺忘錢包訪問的釣魚攻擊。

這些網絡釣魚方案通常使用欺騙性的網站或連結來欺騙用戶簽署惡意授權。一旦授權，這些權限可能會靜靜地存在，直到騙子決定兌現。

誰是 Scam Sniffer？

Scam Sniffer 是一家專注於檢測詐騙和教育加密用戶的 Web3 安全公司。他們的瀏覽器擴展和警報幫助用戶在爲時已晚之前發現釣魚陷阱。他們的早期警告使事件浮出水面，加強了持續警惕的必要性。

保持安全，保持更新

爲了保護他們的錢包，用戶應該採取一些關鍵的預防措施。首先檢查一下您舊的代幣授權；撤銷那些您不再使用的授權可以在騙子出手之前阻止他們。無論智能合約提示看起來多麼合法，都不要盲目簽署。如果您正在處理真實的價值，硬體錢包可以提供額外的保護層，這是難以超越的。

而且不要忽視像 Revoke.cash 或 Scam Sniffer 瀏覽器擴展這樣的工具，它們就像你 Web3 生活的殺毒軟件。畢竟，你去年忘記的授權可能就是明天會耗盡你錢包的那個。