摘要:新型加密钱包攻击正通过伪造BNB链验证页面诱导用户授权,导致资产瞬间被转移。印度网络安全机构已预警多起案例,关键风险在于用户主动批准恶意合约权限。立即撤销闲置授权并切换至离线存储是防范核心。
币圈界报道:
新型钱包授权攻击蔓延:用户须紧急撤销非必要连接权限
当前一种隐蔽性极强的加密资产盗取手段正在全球范围扩散,尤其针对使用Trust Wallet、MetaMask等移动端浏览器型钱包的用户。印度国家网络安全中心最新通报指出,已有多个仿冒BNB链资产验证页面被确认为恶意站点,其中buepux.com已于5月3日被纳入拦截名单,其伪装程度极高,甚至与真实界面在视觉与域名结构上几乎无异。
攻击流程高度仿真:五步完成资产窃取
该类攻击以社交平台为入口,攻击者常伪装成项目官方客服,在Telegram、Discord或X平台上向用户发送诱导链接。这些链接指向精心复刻的真实Web3前端界面,仅通过微小字符替换制造假象。当用户点击后,系统将引导其执行所谓的“资产验证”操作,触发WalletConnect或内置浏览器弹出连接请求。一旦授权确认,即相当于授予恶意智能合约对账户内代币的完全控制权,整个过程可在数秒内完成,且链上交易记录与正常DeFi交互无异。
无限额授权成最大漏洞:资产暴露于瞬时风险
对于持有代币的用户而言,热钱包中长期未使用的授权许可构成重大安全隐患。建议立即进入钱包设置中的“已连接站点”或“授权管理”功能,清理所有非活跃应用的访问权限。同时可借助Revoke.cash等开源工具核查是否存在异常授权,尤其是那些标注为“无限额度”的条款——这正是攻击者实现批量转移的关键路径。
NFT持有者需额外注意:对合集合约进行setApprovalForAll授权后,他人即可操控该系列全部数字藏品。近期一起由Coinbase披露的钓鱼案件即采用此模式,凸显权限滥用的严重后果。
识别可疑联系人:主动私信=高危信号
所有已知的Trust Wallet相关盗币事件均始于陌生人发起的私信。正规钱包服务团队绝不会主动联络用户。若收到要求“验证身份”“迁移资产”或“领取奖励”的消息,应视为典型诈骗行为,务必立即屏蔽、举报,并拒绝任何形式的点击操作。印度官方公告明确强调:“合法钱包提供商绝不会要求用户通过第三方网站同步或验证资产。” 遵循这一原则,可有效阻断多数变体攻击。
即使知名持币者亦难幸免。随着社交工程攻击频率上升,业内专家建议在出行或公开活动期间锁定交易账户,减少潜在暴露面。
立即行动:三重防护构建安全防线
请立刻采取三项措施:第一,在所有热钱包中清除未使用应用的连接授权;第二,将长期持有的数字资产转移至硬件钱包或从不接入去中心化应用的独立“保险库”钱包,这是最根本的防御策略;第三,调整X、Discord及Telegram的私信权限,禁止陌生人直接发送消息,从而切断攻击入口。授权操作虽简便,撤销却无需成本。攻击者依赖的是用户的疏忽,请切勿让其得逞。
常见疑问解析:钱包本身是否可信?
Trust Wallet自身并无安全缺陷。此类攻击并非利用软件漏洞,而是通过诱导用户在伪造的“验证”页面签署恶意授权指令。因此,风险点存在于dApp连接环节,而非钱包程序本身。此问题同样适用于MetaMask、Phantom、Rabby等支持WalletConnect协议的钱包产品。
如何判断是否已被入侵?可通过Revoke.cash或Etherscan提供的授权查询工具,输入您的钱包地址进行检测。如发现来自陌生合约的授权(特别是无限额类型),应立即撤销。若资产已丢失,链上记录会显示资金流向盗币合约地址,建议尽快向钱包服务商及当地网络安全部门报案。
硬件钱包能否彻底免疫?答案是否定的。虽然硬件设备能有效防止私钥泄露,但若用户本人在设备上确认了恶意授权交易,仍可能导致资产损失。唯一可靠的解决方式是养成审慎核对每项操作提示的习惯,并将长期持有的资产存放在永不连接任何dApp的钱包中。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。