以太坊巨鲸因无Gas网络钓鱼攻击损失600万美元

犯罪以太坊

• 2025年9月19日
• |
• 05:01

近日，一名高价值加密钱包持有者在不知情的情况下通过网络钓鱼手段将权限授予了诈骗者，导致其损失超过600万美元。

该事件于9月18日被曝光，揭示了攻击者如何利用以太坊的便利功能，在几乎没有警示的情况下实施盗窃。

Gas免费陷阱

攻击中，受害者被诱导批准了一系列看似常规的钱包请求。由于签名无需支付Gas费用，这并未引起受害者的警觉。然而，几分钟后，资产便被迅速转出。

慢雾创始人余贤指出，受害者很可能以为自己只是在确认一些无害的请求。“感觉就像点击几下鼠标——没有任何成本——然后突然间数百万美元就没了，”他说。

攻击者滥用了以太坊的许可功能，该功能旨在通过让用户链下签名来简化代币传输。当与TransferFrom功能结合使用时，这种授权允许资金在链上直接提取。而当钱包界面显示批准信息时，已经为时已晚。

网络钓鱼攻击的更大趋势

这名巨鲸并非孤例。Scam Sniffer数据显示，8月是网络钓鱼攻击最严重的月份之一，超过15,000个地址被盗，总金额超过1200万美元。仅三个钱包就占了近一半的损失，其中一个钱包在一次攻击中损失了超过300万美元。

研究人员指出，批量签名方案和恶意智能合约是这一现象背后的驱动力。攻击者越来越依赖社会工程学和欺骗性批准，而非复杂的漏洞利用或代价高昂的Gas战。

在恶劣环境中保持安全

专家敦促用户对钱包请求保持高度警惕。尤其是无限制的审批，仍然是盗窃的常见切入点。即使是经验丰富、资金雄厚的投资者也难逃其害，这凸显了便捷工具被滥用时安全性的脆弱性。

这起600万美元的盗窃案再次警示我们，在去中心化金融中，最薄弱的环节并不总是代码，有时是屏幕背后的人。

---