2026年7月9日,以太坊网络上的一名普通用户在与一个看起来“正常”的代币合约交互时,轻描淡写地点下了钱包里的那一次“签名确认”。这笔实际上是对恶意代币的 approve 授权,在链上生效的那一刻,攻击脚本立即开始行动:先是尝试一次性提取1,000,000美元,但由于钱包中少了约631美元而被链上规则驳回;短短36秒后,脚本就根据实时余额重新计算额度,将提取金额精确调整为约999,999枚USDT,第二笔交易随即执行成功,几乎瞬间清空了受害者的钱包。整个过程没有任何戏剧性的黑客攻防,只是一次普通用户并不熟悉的授权签名,被一套高度自动化、成熟的攻击工具链精准捕捉和放大为近百万美元的损失。事后,安全监测服务 Scam Sniffer 公开复盘这起钓鱼授权攻击,提醒用户务必核查每一次签名请求——这起事件的残酷之处正在于,它证明了在 DeFi 世界里,普通人的链上签名习惯本身已经演化成了一个不容忽视的重大安全隐患。
从一笔授权到钱包被清空
在这类钓鱼授权攻击里,故事往往从一笔看似普通的 approve 交易开始。攻击者先通过伪装代币或诱导链接,把受害者引导到一个需要“授权”的交互界面,只要用户在钱包里点下确认,对恶意合约执行了 ERC20 授权,攻击者就在链上获得了代币转移权限。之后,受害者钱包里的可用 USDT 余额,已经不再由他自己支配,而是变成任由对方调用转账相关函数的“库存”,攻击脚本可以在任何时刻、以任何额度发起提取尝试。
本案的链上路径也遵循这一套路,但执行得极为精确。2026 年 7 月 9 日,这名以太坊用户在与恶意代币交互时误签署了 approve,授权一经生效,攻击脚本随即开始动手,第一次提取直接将目标金额写成 1,000,000 美元。交易推送到链上后,因为钱包实际余额少了约 631 美元,这次尝试未能成功。仅仅 36 秒后,脚本根据链上返回的结果重新计算可用余额,发起第二笔提取交易,这一次金额被调到略低于上限,约 999,999 枚 USDT 被一次性转走,几乎清空了受害者的钱包。整个过程没有任何复杂的智能合约漏洞利用,攻击者只是顺着用户亲手签下的一次授权,把一套成熟的自动化脚本接上 ERC20 的常规权限,完成了一次从“误点签名”到“钱包归零”的链上闭环。
自动化脚本精算余额的冷血效率
从链上还原这次攻击的节奏,会发现一种近乎冷血的机械精度。授权一生效,脚本立刻尝试提取整整 1,000,000 美元,但这笔交易因为超出钱包实际余额约 631 美元而失败。对普通用户而言,这是一串难以理解的报错信息;对攻击工具来说,只是一次参数不匹配的返回值。短短 36 秒之内,脚本已根据真实余额重新计算出“安全上限”,将提取额度下调到略低于极限的约 999,999 枚 USDT,再次发起交易并成功执行,几乎扫空受害者钱包里与这次授权相关的全部资产。
安全监测服务 Scam Sniffer 在事后复盘中点出了关键:整个过程由自动化脚本完成,且精确到每一枚代币的可用余额。这种自动化钓鱼工具已经不再是“黑客个人技巧”,而是标准化、模块化的攻击生产线。一旦用户对恶意合约签下错误授权,后续的资金提取、失败重试、额度校准都会在秒级时间内完成,人为干预的空间被压缩到几乎为零,在链上留给受害者反应的,只有一串已经确认的交易记录和一个被精算到最后一枚代币的归零钱包。
钓鱼授权为何越来越难被察觉
在这种高度自动化的攻击工具链面前,真正让人无力的是“前一秒”的那次点击——恶意代币本身几乎不再长着“坏人”的脸。它通常会伪装成热门项目的测试网资产、治理代币,或者一笔看起来合理的空投奖励,在名称、Logo、符号上尽量贴近用户熟悉的生态,让受害者相信自己是在参与正常的链上互动。等到用户打开钱包,看到的是一条看似常规的 approve 请求,后面跟着密密麻麻的合约地址、函数名和十六进制参数,对绝大多数非专业用户而言,这些信息既陌生又抽象,很难在几十秒内判断它究竟是一次普通授权还是埋好的陷阱。
更现实的问题是,频繁使用 DeFi 的人早就被训练出了“习惯性点击”。从加入流动性池、抵押借贷,到领取各种激励,大量操作都要先点一次 approve,久而久之,“先签了再说”成了默认反应,一旦在匆忙或者分心的状态下遇到伪装精细的恶意代币,警惕心自然下降。也正因此,安全监测服务 Scam Sniffer 在对本案做出提示时强调,在当前环境下仅靠直觉几乎无法分辨哪些交互是正常的、哪些是钓鱼,用户必须主动养成核对每一份签名请求内容的习惯,否则任何一次看似 routine 的授权,都可能在几秒钟后被后端脚本精确地兑现成一笔无法挽回的损失。
普通用户可以做的四道防线
对任何人来说,能挡住类似本案这种几十秒内清空USDT余额的攻击,靠的不是“运气好”,而是把几道基础防线练成习惯。第一道防线是签名前的“逐项核对”:安全机构普遍建议,在批准任何授权前先看清三件事——合约地址是不是你本来要交互的那个、授权对象是不是熟悉的协议或代币合约、授权额度是不是合理而且有限。不要只盯着界面上的「确认」「Approve」按钮,Scam Sniffer 在这次事件后也再次提醒用户,真正决定你是否失血的是签名内容本身,而不是哪个 DApp 把按钮做得更像“正常操作”。
第二道防线是提高误签的成本。能做到的简单动作包括:优先使用硬件钱包,把签名确认变成一个需要亲手按键的物理动作;开启钱包里能提供的多重确认机制,让每一次 approve 都多一道人工检查。第三道防线是缩小攻击面——尽量避免“无限额度”授权,给常用协议按需设置较小的额度,并养成定期查看和撤销历史授权的习惯,把早已不用的合约权限从自己的地址上清理掉。最后一道防线则是信息与工具:在点开任何陌生链接、参与新项目或处理来路不明的代币前,先去可信的信息源或安全提醒服务上搜索一下项目与合约,遇到钱包弹出看不懂的签名请求时宁愿取消一步步查证,也不要在模糊的界面提示下赌自己这一次不会成为下一个被脚本精准“兑现”的受害者。
这次100万USDT损失留下的集体教训
这名以太坊普通用户在一次看似寻常的approve操作后,被自动化脚本在短短几十秒内抽走约999,999枚USDT,这个几乎“清仓式”结果把一个长期存在却始终未被解决的问题推到了台前:链上授权机制的技术设计与普通用户的日常行为之间,隔着一道巨大的安全鸿沟。合约只认签名,不认意图,用户却往往在模糊的界面、陌生的代币名和赶时间的心理下草率点击确认,本案只是众多钓鱼授权攻击中的一例,却因为损失规模接近100万枚USDT,在社区内形成了罕见的集体警醒。安全监测服务 Scam Sniffer 已经将全过程拆解并公开提醒,但真正值得持续观察的,是钱包产品是否会在签名界面上给出更直观的风险提示,是这类安全工具能否走出“少数玩家圈”,以及用户教育能否让更多人把“看不懂就不签”变成默认习惯。这不是某个倒霉地址的孤立事故,而是整个市场必须共同面对的签名安全议题,所有参与者是否愿意为此改变流程与心态,将决定下一次类似攻击发生时,脚本面前到底还会有多少无防备的授权签名。
加入我们的社区,一起来讨论,一起变得更强吧!
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。



