网络钓鱼骗局致受害者损失33万美元:签署批准后408天资金被盗

谷燕西2025-03-25
摘要
根据Web3反scam平台Scam Sniffer的报告,一个人因网络钓鱼批准而被耗资33万美元,这是他们的 。
币币情报道:

根据Web3防诈骗平台Scam Sniffer的一份报告,一名用户因一年多前签署的网络钓鱼批准协议而损失了33万美元。

据Etherscan数据显示,该受害者的钱包中共计损失了价值329,743美元的Aave代币。最令人震惊的是,这笔交易的批准早在2024年2月10日上午12:51 UTC就已签署,为黑客入侵受害者钱包提供了入口。

直到2025年3月24日UTC上午12:35,攻击者才在一笔交易中转移了1,999.23枚Aave代币,价值329,743美元。

在盗窃发生之前,该钱包持有价值527,498美元的AAVE代币。到黑客完成操作时,受害者仅剩197,755美元。

The victim signed the phishing approval signed 408 days ago
受害人签署了408天前的网络钓鱼批准。来源:Etherscan

尽管该钱包中还包含其他资产(如LPT),但黑客只转移了受害者的Aave代币,因为这是转账中唯一的代币。

截至目前,黑客身份尚未确定,受害者追回被盗资金的可能性非常有限。

批准网络钓鱼骗局对加密货币持有人构成严重威胁

根据Chainalysis的一份报告,自2021年5月以来,加密货币领域因批准网络钓鱼骗局损失了约10亿美元,其中仅2023年的损失就高达3.74亿美元。

尽管批准网络钓鱼作为一种骗术已经存在多年,但骗子通常通过假冒加密应用程序来针对加密用户。随着行业的发展,他们的技术也变得更加高效。

通常情况下,骗子会通过伪装成投资机会或冒充他人来诱使受害者向其发送加密货币。但在批准网络钓鱼的情况下,骗子会诱使用户签署恶意区块链交易,从而授权骗子地址从受害者钱包中提取特定代币。这使得骗子可以随时将这些代币转走。

大多数情况下,批准网络钓鱼的骗子会将受害者的资金转移到一个单独的钱包中,并以受害者的名义进行交易。链上模式通常显示,受害者地址签署了一项交易,批准第二个地址使用其资金,随后第二个地址(即授权消费地址)执行交易,将资金转移到新的目标地址。

MetaMask首席安全研究员泰勒·莫纳汉(Taylor Monahan,又名@taiwano_)是追踪浪漫骗局式批准网络钓鱼的人之一,并通过沙丘分析仪表板分享了相关数据。

Taylor Monahan shared an example of a phishing email
泰勒·莫纳汉(Taylor Monahan)分享的网络钓鱼电子邮件示例。资料来源:@tayvano_(x/twitter)

据报道,自2021年5月以来,浪漫骗局的受害者因批准网络钓鱼骗局损失了大约10亿美元。需要注意的是,这一总额是基于链上模式的估算值,其中部分资金可能已经被骗子控制。

由于浪漫骗局的损失往往被低估,且分析基于有限的报告实例,因此实际损失可能更高。

业内人士认为,绝大多数批准网络钓鱼骗局是由一些极其成功的骗子实施的,可以通过多种方式解决,包括用户教育和采用模式识别策略。

加密大都会学院:即将推出 - 一种新的方式,在2025年通过DeFi赚取被动收入。了解更多

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代币币情的观点或立场