摘要:2025年上半年,因钓鱼代币授权攻击导致的损失已超3.66亿美元。一名用户因误签恶意合约损失近百万美元,攻击者利用自动化脚本精准清空账户余额。安全机构警示,此类攻击正呈现规模化、重复化趋势。

币圈界报道:
以太坊钓鱼授权骗局致单笔损失近百万美元
周三,一名以太坊用户在签署一个看似正常的代币授权请求后,遭遇重大资金损失,累计亏损接近100万美元。链上追踪数据显示,2025年上半年,该类攻击造成的总损失已达3.66亿美元。
恶意脚本自动清空剩余资产,攻击链条高效隐蔽
安全监测平台于周四披露,受害者在首次尝试被拒绝后,攻击者迅速通过后续交易精确提取了账户中剩余的999,999 USDT。系统分析指出,攻击脚本在失败后立即重新计算余额,并完成全额转移,展现出高度自动化特征。
授权陷阱成主流手段,248起事件造成逾7亿美元损失
利用代币授权实施的社会工程学攻击已成为当前最普遍的欺诈形式之一。据审计平台统计,2025年共发生248起相关事件,整体经济损失达7.23亿美元。攻击者常伪装为低风险操作,诱导用户授予无限访问权限,从而实现对钱包资产的完全控制。
多笔转账协同作案,同一钱包被反复使用
此次案件中,诈骗者通过三笔连续交易完成资金转移,且其使用的攻击钱包地址在多起类似事件中被重复启用。这表明攻击组织具备高度协同性与资源复用能力。
虚假交易所连接致巨额损失,自动化工具加速资产掠夺
本月早些时候,另一名用户因接入伪造的去中心化交易所并签署恶意合约,损失高达165万美元。研究人员强调,一旦授权被授予,攻击者即可部署自动化扫币程序,迅速清空所有可用资金。
全年链上诈骗总额突破140亿美元,授权钓鱼为主要执行方式
根据区块链安全公司6月发布的报告,2025年全年的链上诈骗总金额至少达到140亿美元。其中,投资类诈骗占据主导地位,而授权钓鱼是其在区块链层面实现资金转移的关键技术路径。
攻击网络具可扩展性,单一报告揭示深层关联
高级调查员指出,诈骗团伙倾向于复用同一套攻击合约、钱包地址和提现通道,这意味着每一次独立事件的背后,可能隐藏着一个更大规模的协作网络。
防御建议:核验签名、禁用自动授权、启用检测工具
安全机构呼吁用户在确认任何签名前,务必仔细审查内容,避免在未充分理解的情况下进行快速操作。同时推荐安装具备实时预警功能的浏览器扩展程序,以识别潜在风险。
地址投毒持续威胁,实时比对功能上线应对
地址投毒仍是主要威胁之一,攻击者会创建与目标地址高度相似的假地址,并发送小额“粉尘”资金诱导用户误转。为应对这一问题,以太坊热门钱包客户端已于6月推出实时地址投毒检测功能,可自动比对粘贴地址与历史交互记录,降低误操作风险。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
