以太坊用户因钓鱼授权损失999,999 USDT
2026-07-09 16:08 loading...
一名以太坊用户因签署了钓鱼代币授权,导致其钱包中的 999,999 USDT 被盗,这一行为使得攻击者获得了从该钱包提取资金的权限。
这次损失并非源于助记词泄露或 USDT 合约漏洞,而是通过授权机制发生的。授权是一种标准的 ERC-20 权限,允许另一个地址从用户钱包中支出代币。如果被授权的支出方是恶意的,攻击者就可以利用这一权限转移代币,而无需获取受害者的私钥。
攻击者首先试图从钱包中提取 100 万 USDT,但由于请求金额超过了可用余额 631 美元,交易失败。36 秒后,攻击者再次尝试,修正了金额,将剩余的 999,999 USDT 一扫而空。
授权盗币者持续瞄准稳定币
USDT 授权是高价值目标,因为稳定币结算速度快、价值与美元挂钩,并且能够在高流动性渠道中交易。恶意授权可能将正常的钱包提示变成直接的支出授权,尤其是当用户通过虚假的申领页面、钓鱼链接、假冒应用或受损的前端界面进行签署时。
加密钱包盗币者通常综合运用社会工程学、虚假或受损网站、恶意脚本以及攻击者控制的钱包。这些页面让操作看起来像是常规流程,而钱包提示则会生成转移资金所需的授权或签名。
同样的授权模式也说明了为什么用户在与陌生应用交互后需要检查支出权限。用户可以通过可信赖的、已收藏的授权工具来检查旧的支出权限,验证支出方地址,并移除不再有实际用途的访问权限,从而降低休眠授权风险。
钱包提示仍是主要防线
用户应将每一次授权和签名请求都视为具有财务后果的交易,而不是常规的登录步骤。安全审查应从以下方面入手:域名、连接的钱包、被授权的代币、支出方地址、授权金额,以及请求是否与用户本意要执行的操作相匹配。
最近的盗币事件在不同场景中暴露了同样的薄弱环节。Polymarket 用户因一个供应商脚本而遭受了 294 万美元的损失,该问题源于一个受损的前端依赖项,而不是已确认的智能合约漏洞。
该事件中的资金随后被转移到了三个新的以太坊钱包中,攻击者在转换了被盗资产后,将价值从 Polygon 桥接到了以太坊。
最新的 USDT 案例属于同一类更广泛的钱包安全问题:用户签署了授权,而攻击者的行动速度之快,使得任何后续的撤销操作都无法阻止。
相关阅读
-
比特币ETF流出8490万美元,以太坊基金则延续流入势头WEB3.0 2026-07-09 16:08
-
Plume在Nest上为币安钱包用户推出nBasis VaultDeFi 2026-07-09 14:31
-
以太坊闪现罕见死叉,比特币徘徊在6.2万美元附近矿业头条 2026-07-09 10:32
-
CryptoQuant数据显示,币安以太坊储备增加22.1万枚ETH,而大型投资者活动减弱币种百科 2026-07-09 10:10
-
以太坊:在交易所动态变化中如履薄冰币种百科 2026-07-09 10:10
-
USDT创纪录巨量流出交易所DeFi 2026-07-09 06:46
-
USDT主导支付,USDC主导DeFi:稳定币如何分化市场币种百科 2026-07-09 06:44
-
查尔斯·霍斯金森:以太坊借鉴Cardano理念却未给予认可矿业头条 2026-07-09 06:27
-
以太坊当前疲软迹象引发市场担忧币种百科 2026-07-09 06:21
-
以太坊报1,714美元:技术信号显示动能减弱,分析师BATMAN警告存在隐藏的看跌背离币种百科 2026-07-09 06:21