摘要:2026年7月9日,一名以太坊用户因签署恶意代币授权交易,导致近100万美元USDT被迅速盗取。事件暴露了基于授权机制的钓鱼攻击在生态中的持续威胁,凸显用户端防御的薄弱环节。

币圈界报道:
用户误授权限致百万美元资产被窃,授权钓鱼成主流攻击路径
2026年7月9日,一名以太坊钱包持有者在签署一笔看似正常的代币授权交易后,遭遇重大资金损失,近100万美元的USDT被快速转移至攻击者控制地址。此次事件由GoPlus Security披露,揭示了当前以太坊生态中一种高效率、低门槛的欺诈模式:通过社会工程诱导用户授予无限访问权限。
恶意授权链路闭环:从诱骗到自动扣款
受害者地址0x8C949361…62530F89因向多个伪装成合法DeFi平台或空投入口的钓鱼网站授予代币支出权限,致使攻击合约可在无需二次确认的情况下提取资产。攻击者利用伪造的界面诱导用户执行#Approve操作,一旦授权完成,便能随时调用资金,实现无感盗取。
攻击脚本精准执行,分阶段完成资金清空
攻击过程高度自动化。初始尝试一次性转走全部100万美元时因余额不足而失败,系统在36秒内自动调整策略,成功提取剩余约999,999 USDT。关键攻击地址包括0x6D8c0703…13a32b9、0xf84c6257…3E68d93及0xc508a8…70Da1,主要转账交易记录为0x6e882fd8…f2e6ffb9,显示其具备脚本化批量操控能力。
授权滥用泛滥:虚假空投与品牌冒充常态化
此类攻击已形成标准化套路,广泛存在于虚假空投、NFT铸造骗局及冒充Uniswap等知名协议的付费广告活动中。攻击者结合谷歌广告投放与可信品牌仿冒,诱导用户连接钱包并批准恶意交易。2026年以来,类似案例频发,表明基于授权机制的社会工程攻击正持续演化,且具备极强隐蔽性。
深层影响与防御短板显现
本次事件并非源于协议漏洞,而是用户主动签署权限所致,反映出当前安全风险重心已从智能合约缺陷转向用户行为弱点。尽管整体钓鱼损失呈下降趋势,但攻击手段愈发复杂,融合AI辅助生成内容与自动化工具,使防范难度显著上升。行业数据显示,2026年第二季度成为黑客活动最密集期,私钥泄露占总损失近四成。
建议采取多重防护措施:部署支持风险预警的安全插件;定期使用Revoke.cash等工具撤销冗余授权;签署前通过区块浏览器独立核验合约来源;坚决拒绝未经请求的链接与未验证dApp交互。在授权即责任的环境下,审慎对待每一笔签名,是抵御可预防损失的核心防线。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
