🔥 Gate 动态大使专属发帖福利任务第三期报名正式开启!🏆 第二期获奖名单将于6月3日公布!
👉️ 6月3日 — 6月8日期间每日发帖,根据帖子内容评级瓜分 $300奖池
报名即可参与:https://www.gate.com/zh/questionnaire/6761
报名时间:6月3日10:00 - 6月8日 24:00 UTC+8
🎁 奖励详情:
一、S级周度排名奖
S级:每周7日均完成发帖且整体帖子内容质量分数>90分可获S级,挑选2名优质内容大使每人$50手续费返现券。
二、A/B 等级瓜分奖
根据各位动态大使发帖数量及帖子内容质量获评等级,按评定等级获奖:
A级:每周至少5日完成发帖且整体帖子内容质量90>分数>80可获A级,从A级用户中选出5名大使每人$20手续费返现券
B级:每周至少3日完成发帖且整体帖子内容质量80>分数>60可获B级,从B级用户中选出10名大使每人$10手续费返现券
📍 活动规则:
1.每周至少3日完成发帖才有机会获奖。
2.根据发帖天数和整体发帖内容质量分数给予等级判定,分为S/A/B等级,在各等级下选择幸运大使获奖。
💡 帖子评分标准:
1.每帖不少于30字。
2.内容需原创、有独立见解,具备深度和逻辑性。
3.鼓励发布市场行情、交易知识、币种研究等主题,使用图例或视频可提高评分。
4.禁止发布FUD、抄袭或诋毁内容,违规将取
新的以太坊功能在上线仅几周后被利用,导致$146K的网络钓鱼盗窃事件
一个升级到EIP-7702智能账户的以太坊钱包损失了$146,551的各种模因币,遭到钓鱼诈骗者的攻击。区块链安全公司Scam Sniffer报告了这一事件,指出这些资金是通过恶意批量交易被盗的。
根据该公司的说法,受害者0xc6d289d签署了恶意的批量交易,使攻击者能够 siphon 资金。诈骗者使用0xC83De81A和0x33dAD2b执行了攻击。
在事件发生后,网络安全专家余先指出,这次网络钓鱼漏洞非常具有创意,并确定了在事件背后活跃的著名网络钓鱼团伙Inferno Drainer。该团伙曾公开声称已关闭,但Check Point Research最近的一份报告显示,其恶意软件仍在广泛使用,并在过去六个月内被用于盗取超过900万美元的加密资产。
区块链安全公司Slow Mist的创始人Xian指出,诈骗者并没有将外部拥有的账号(EOA)地址切换到钓鱼地址。相反,他们使用了Metamask EIP-7702委托者中的一种机制来完成批量授权钓鱼和盗取代币。
他说:
“我所说的稍微有创意的意思是,这一次,用户的EOA地址并没有通过网络钓鱼切换到7702合约地址。换句话说,委托地址并不是网络钓鱼地址,而是几天前存在的MetaMask:以太坊改进提案-7702 Delegator Ox63c0c19a2。”
这使得事件比之前试图利用EIP-7702特性的情况更为复杂。通过这一机制,攻击者可以选择从受害者的地址中盗取代币。Xian补充说,这表明网络钓鱼团伙持续发现新的创造性手段来窃取用户的资金。因此,加密用户必须小心,以免失去他们的资产。
关于攻击者如何能够入侵用户的钱包,他解释说受害者可能访问了一个钓鱼网站,并在没有注意的情况下不小心批准了该操作。
网络钓鱼诈骗者利用以太坊改进提案-7702
该事件引发了更多关于EIP-7702账号抽象功能安全性的质疑,该功能是在几周前的Pectra升级中引入的。自其推出以来,许多人已经采用了它,Wintermute Research的Dune Analytics数据显示,已有超过48,000个委托。
该功能允许以太坊用户暂时为他们的外部拥有账户(EOA)启用智能合约钱包功能,通过将控制权委托给他们希望执行代码的地址。
一般来说,EOA是基本的以太坊账号,没有诸如燃气赞助、替代认证和交易批处理等功能。通过这些功能,用户可以从同一基本账号中获得更好的体验。
然而,本 intended 提升用户体验的措施现在使用户面临新的风险。一大部分被授权的 7702 个委托人是恶意合约,窃取用户资金,Dune Analytics 数据显示,175 个 deleGate 合约中有 36.3% 被标记为犯罪。
根据GoPlus Security的说法,发送到任何受影响的EOA的资金会自动重定向到骗子的地址。这使得网络钓鱼攻击者能够窃取本应发给受感染地址的资金。
用户被敦促保护自己免受钓鱼诈骗的侵害
与此同时,新威胁向量的出现使专家呼吁加密用户更加警惕。Xian指出,用户需要检查任何异常的代币授权,并确保它们没有被委托给钓鱼地址。
他建议他们可以通过查看他们的授权记录来检查这一点,使用区块浏览器,并通过切换到支持EIP-7702的钱包来取消这样的授权。
Metamask 向用户发出警告 (Source:GoPlus Security)
领先的以太坊钱包MetaMask也提醒用户不要点击任何要求他们将钱包升级为智能合约账号的外部链接或电子邮件。钱包中的弹窗表示,任何切换到智能账号的提示都会在钱包内出现。
Web3安全公司GoPlus还强调了重要的安全措施,包括验证授权地址、验证合约源代码,以及对非开源合约保持谨慎。
Cryptopolitan Academy:即将推出 - 2025年通过DeFi赚取被动收入的新方式。了解更多