百万美元损失警示:以太坊授权钓鱼再发,用户需警惕无感签名风险
用户签署恶意授权致百万资产流失,以太坊生态再曝高危漏洞
2026年7月9日,一名以太坊持有者在误操作下批准了一项恶意代币授权,致使约100万美元的USDT被迅速转移。此次事件由攻击者精心设计的钓鱼页面触发,诱使用户在看似合法的空投申领或钱包维护场景中签署授权指令,从而赋予恶意合约永久取款权限。
授权滥用成主流攻击路径,资金转移无需二次验证
根据GoPlus Security披露,受害者钱包地址0x8C949361…62530F89曾向多个高风险地址授予超额权限。一旦完成授权,攻击者即可绕过用户确认流程,直接调用账户余额。在本次攻击中,首次尝试转账100万美元因余额不足失败,36秒后系统自动调整策略,成功提取剩余约999,999 USDT。
多链并行攻击频发,虚假广告与品牌冒用交织成网
该类攻击已形成规模化运作模式。近期调查显示,有攻击者利用模仿Uniswap的谷歌广告引流,将用户导向伪造网站,在连接钱包并签署恶意交易后造成超40万美元损失。此类手法结合了付费推广、品牌伪装与自动化脚本,显著提升成功率。监控数据显示,多个关联地址协同作业,形成分布式盗取网络。
长期权限隐患持续蔓延,用户教育亟待加强
ERC-20标准中的授权机制本为提升交互效率而设,却成为欺诈温床。攻击者常设置无限额度或长期有效期,使资金可在数月后仍被提取。尽管部分安全平台报告整体钓鱼损失呈下降趋势,但攻击手段不断进化,尤其在AI辅助生成欺骗内容与复杂合约部署方面表现突出。行业共识认为,当前最致命的威胁并非协议缺陷,而是用户对签名行为缺乏足够认知。
面对日益严峻的安全形势,建议采取多项防御措施:部署具备风险识别功能的主流安全插件;定期使用Revoke.cash等工具审查并撤销冗余授权;在签署前独立核验目标合约的代码与来源;坚决避免点击未明示来源的链接或接入未经验证的去中心化应用。
一分钟读懂:2026年7月9日,一名以太坊用户因签署恶意代币授权交易,导致近100万美元USDT被窃。攻击者利用钓鱼诱导,通过伪造DeFi界面获取无限权限,实现无需二次确认的资金转移。事件凸显用户端弱点仍是主要威胁。
