链上诈骗者去年的净收入超过 140 亿美元,授权钓鱼仍是主要攻击方式。
链上数据显示,周三,一名加密货币用户在以太坊上签署钓鱼代币授权后损失近 100 万美元。今年上半年,该行业因钓鱼攻击造成的损失达到 3.66 亿美元。
Scam Sniffer 周四发布警报称,一名受害者在以太坊钓鱼代币授权骗局中损失 999,999 USDT。诈骗者起初试图通过多次调用转走整数 100 万美元,但因余额不足失败;几秒后,他们改为在后续转账中提取精确的剩余余额并得手。
Scam Sniffer 表示:“脚本重新计算并提取了准确的剩余余额。”
通过钓鱼代币授权实施社会工程攻击,已成为常见的加密诈骗手法。CertiK 数据显示,2025 年共有 248 起钓鱼事件,损失总额达到 7.23 亿美元。诈骗者会用看似无害的交易诱导受害者,把钱包访问权限交给恶意行为者。
受害者误以为点击“批准”只是在启动一个小任务,但恶意链接实际上会让攻击者获得从钱包转走资金的授权。
本月早些时候,也有报道称,一名钱包持有者在连接到虚假交易所并签署恶意合约后损失 165 万美元。研究员 Ryan Coleman 周五表示,该授权为攻击者提供了不受限制的访问权限,使自动清扫程序能够耗尽资金。
区块链安全公司 Chainalysis 在 6 月报告称,2025 年链上诈骗收入至少达到 140 亿美元。Chainalysis 表示,投资诈骗仍是主要类别,而授权钓鱼是其中一些骗局在链上执行的方式。
Chainalysis 高级调查员 Renato Bastos 表示,诈骗者会重复使用相同的钱包、合约的合法授权功能以及受害者之间的兑现路径,这意味着每一份报告都可能暴露一个更大的网络。
Scam Sniffer 建议加密货币用户在批准前仔细检查所有签名请求,避免仓促交易,并使用诈骗检测扩展等工具。
地址投毒仍然是威胁。地址投毒是诈骗者与钓鱼代币授权一起使用的另一种攻击方式。诈骗者会创建与目标钱包非常相似的地址,并向该地址发送少量“灰尘”资金,使用户误把资金发送到该地址,而不是合法地址。
流行的以太坊钱包 MetaMask 在 6 月推出实时地址投毒检测工具,可将每个粘贴的地址与钱包此前交互过的地址进行比较。