币圈界报道:

授权陷阱致百万稳定币瞬间蒸发:攻击者利用合法权限实施闪电窃取

一名以太坊持有者因签署恶意代币授权,其钱包中价值约999,999美元的USDT被完全转移。此次损失并非源于助记词泄露或合约缺陷,而是通过标准ERC-20授权机制实现,攻击者借此获得直接提取资金的权利。

高流动性稳定币成授权攻击首选目标

由于USDT具备与法定货币挂钩、交易迅速且市场深度充足的特点,使其成为攻击者优先瞄准的对象。当用户在伪造申领页面、诱导性链接或被篡改的应用界面中签署授权时,看似正常的操作实则赋予攻击方永久支出权限。

此类攻击常结合社会工程手段、虚假网页、恶意脚本及控制地址共同作用。伪装成常规流程的交互界面会触发钱包弹窗,诱导用户确认可能造成重大财务损失的签名请求。

为防范此类风险,建议用户定期使用可信工具核查历史授权记录,审查被授权方地址,并及时撤销已过期或无实际用途的访问权限,有效降低休眠授权带来的潜在威胁。

授权提示需视为关键财务决策而非普通操作

每一次授权请求都应被当作一次真实的资金转移行为对待,而非简单的登录验证。用户必须仔细核对域名真实性、连接的钱包地址、受授权代币类型、支出目标地址、授权额度以及请求是否与自身意图一致。

近期多起安全事件揭示了相同隐患:Polymarket用户因供应商依赖项被植入恶意代码,导致294万美元资产流失,问题根源在于前端链上资源受损,而非智能合约本身存在漏洞。

被盗资金随后被分批转入三个新创建的以太坊地址,并经由Polygon跨链桥迁移至以太坊主网,进一步增加追踪难度。

当前案例再次印证,用户一旦签署授权,攻击者即可在极短时间内完成资金提取,任何事后撤销动作均无法挽回损失,凸显出预防机制的重要性。