犯罪以太坊

以太坊巨头遭遇 600 万美元无 gas 网络钓鱼攻击

  • 2025年9月19日
  • |
  • 05:01

一个高价值加密钱包的主人在不知情的情况下通过网络钓鱼手段将权限交给了诈骗者,导致其损失超过 600 万美元。

该事件于 9 月 18 日被标记,表明攻击者如何利用以太坊的便利功能在几乎没有警告的情况下发动攻击。

气体

Gas 费用是以 ETH 形式支付给网络验证者用于处理和验证区块链上的交易的交易费用。

“>气体-免费陷阱

在批准了一系列钱包

" >钱包那些看似例行公事的提示。由于签名无需支付 Gas 费,这笔交易并没有立即引起怀疑。几分钟之内,资产就转出了。

慢雾创始人余贤指出,受害者很可能以为自己只是在确认一些无害的请求。“感觉就像点击几下鼠标——没有任何成本——然后突然间数百万美元就没了,”他说。

攻击者滥用了以太坊的许可功能,该功能旨在通过让用户签名来简化代币传输链下

“>链下批准。当与 TransferFrom 功能结合使用时,该授权允许资金在执行后直接提取链上

在区块链上记录和验证的交易。

“>链上。当钱包界面显示批准信息时,已经太晚了。

更大的趋势网络钓鱼

一种骗局,通过假装成您信任的人来诱骗您泄露您的用户名、密码或其他敏感信息。

" >网络钓鱼损失

" >鲸鱼并非个例。Scam Sniffer 数据显示,8 月是网络钓鱼攻击最严重的月份之一,超过 15,000 个地址被盗,金额超过 1,200 万美元。仅三个钱包就占了近一半的损失,其中一个钱包在一次攻击中损失了超过 300 万美元。

研究人员指出,批量签名方案和恶意智能合约

“>智能合约是[激增]背后的驱动力。攻击者越来越依赖社会工程学和欺骗性批准,而不是复杂的漏洞利用或代价高昂的天然气战。

在恶劣环境中保持安全

专家敦促用户谨慎对待钱包请求。尤其是无限制的审批,仍然是盗窃的常见切入点。即使是经验丰富的、资金雄厚的投资者也难逃其害,这凸显了当便捷工具被滥用时,安全性是多么脆弱。

这起 600 万美元的盗窃案再次警告我们,在去中心化金融中,最薄弱的环节并不总是代码,有时是屏幕背后的人。