一名黑客在一位钱包拥有者不知情的情况下，签署了一个恶意的“许可”签名，盗走了超过44万美元的USDC，根据Scam Sniffer周一的tweet报道。

此次盗窃发生在网络钓鱼损失激增的背景下。Scam Sniffer的月度报告发现，11月份从超过6000名受害者那里损失了大约777万美元，较10月份的总损失增长了137%，尽管受害者人数减少了42%。

“鲸鱼猎杀活动加剧，最高损失达到122万美元（许可签名）。尽管攻击次数减少，个人损失却显著增加，”该公司指出。

什么是许可诈骗？

基于许可的诈骗围绕着欺骗用户签署看似合法的交易，但实际上悄悄地将攻击者的代币支出权交给了攻击者。恶意的dapps可能会伪装字段、伪造合同名称，或将签名请求呈现为常规事务。

如果用户未能仔细审查细节，签署请求实际上就授予了攻击者访问所有用户ERC-20代币的权限。一旦获得，诈骗者通常会立即提取资金。

该方法利用了以太坊的许可功能，旨在通过允许用户将支出权委托给受信任的应用程序来简化代币转移。当这些权利被授予攻击者时，便利性就变成了脆弱性。

“这种攻击类型特别棘手，因为攻击者可以在一个交易中同时进行许可和代币转移（类似于突袭式的方式），或者他们可以通过许可获得访问权限，然后静待时机转移任何后续添加的资金（只要他们在许可功能元数据中设置一个适当远的访问截止日期），”Twinstake的产品负责人Tara Annison告诉Decrypt。

“这些类型的诈骗成功的关键在于你签署了某些你并不完全理解其后果的东西，”她说，并补充道，“这完全是关于人类的脆弱性和利用人们的急切心理。”

Annison补充说，这一事件远非孤立。“有许多高价值和高频率的网络钓鱼诈骗案例，旨在欺骗用户签署他们并不完全理解的东西。通常以免费空投、虚假项目着陆页连接你的钱包或欺诈性安全警告检查你是否受到影响的幌子进行，”她补充道。

如何保护自己

钱包提供商正在推出更多保护功能。例如，MetaMask会在网站看起来可疑时警告用户，并尝试将交易数据翻译成人类可读的意图。其他钱包同样强调高风险操作。但诈骗者仍在不断适应。

Circuit的创始人兼首席执行官Harry Donnelly告诉Decrypt，许可式攻击“相当普遍”，并敦促用户检查发送者地址和合同细节。

“这是最清楚的方式来判断，如果这是一个与您实际尝试发送资金的协议不匹配的协议，那么这很可能是有人试图盗取资金，”他说。“您可以检查金额，因此他们通常会尝试给予无限的批准。”

Annison强调，警惕性仍然是用户最强的防御。“保护自己免受许可、approveAll或transferFrom诈骗的最佳方法是确保你知道自己在签署什么。交易中实际会执行哪些操作？使用了哪些功能？这些是否与您认为自己在签署的内容相符？”

“许多钱包和dapps已经改善了用户界面，以确保您不会盲目签署某些东西，并且可以看到这将导致什么结果，以及对高风险功能的警告。然而，用户主动检查自己签署的内容，而不仅仅是连接钱包并点击签署，这一点非常重要，”她说。

一旦被盗，资金的恢复几乎不可能。Zircuit Finance的联合创始人兼技术负责人Martin Derka告诉Decrypt，找回资金的机会“基本为零”。

“在网络钓鱼攻击中，你面对的是一个其全部目标都是窃取你资金的个人。没有谈判，没有联系点，通常也不知道对方是谁，”他说。

“这些攻击者玩的是数字游戏，”Derka说，并补充道，“一旦钱没了，就没了。恢复几乎是不可能的。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。