5月26日,一名不幸的受害者损失了1807个流动赌注以太币(ETH),价值691万美元,他似乎从骗子手中拿回了一大部分被盗资金。
"昨天,老牌钓鱼团伙Inferno Drainer利用许可证离线授权签名,从一名用户手中钓鱼骗走了近700万美元的ETH再质押资产。"区块链分析公司SlowMist联合创始人Yu Xian写道。"今天,他们居然得到了退款,这真的很罕见。"
同一天,Scam Sniffer 在 X 上发帖称,据称骗子保留了 20% 的赏金,受害者收回了 1445 个以太币,即被盗资金的 80%。分析师称,此次漏洞涉及的钱包地址遭受了许可钓鱼攻击,即恶意行为者为指定接收者生成真实的链外授权签名,以从非其所有的钱包中转移ERC-20代币。
据 SlowMist 称,由于以太坊许可证中一个被忽视的功能(通过 EIP-2612 引入),该攻击是可执行的。EIP 通过附加授权签名,使用户无需事先授权即可与智能合约进行交互。然而,许可证功能可以由任何账户执行,无论其所有权如何。因此,如果用户之前在钓鱼网站上泄露了他们的钱包签名,即使他们没有批准任何交易,那么骗子仍然可以利用许可证漏洞从他们的钱包中抽走代币。
为防范此类攻击,SlowMist 建议
"建议定期使用 RevokeCash(https://revoke.cash)等授权工具来识别任何异常授权。对于 Uniswap Permit2,可以使用 https://app.scamsniffer.io/permit2 上的授权管理工具进行验证。如果发现任何异常授权,必须及时撤销。
然而,并非所有人都同情此次事件中的受害者。
"你是如何在去年被盗刷 63.8 万美元,今年又被盗刷 690 万美元的。有些人就是对自己的资产太大意了,"著名的 DeFi 侦探 ZachXBT 评论道。
今年 3 月,Cointelegraph 报道称,与加密货币相关的诈骗在过去一年中上升了 53%。据联邦调查局(FBI)称,2023 年,与加密货币相关的投资欺诈占美国所有投资损失的 86%。