用户签署恶意链上授权致资产被盗

3月17日,据GoPlus监测数据显示,一名用户因签署含有恶意代码的Permit(链上授权)交易,触发钓鱼攻击,造成约28万美元的USDC与USDT资产被非法转移。该事件暴露了链上授权机制在实际应用中的安全漏洞,尤其在用户未充分识别交易内容的情况下,极易成为攻击目标。

涉事地址信息及资金流向

受害者钱包地址为 0xB20d4Cd049B1A65Bc0475D29060Fe54fa0981607。资金被转入多个指定钓鱼地址,包括:0xAfb2423F447D3e16931164C9970B9741aAb1723E、0x6fE314fD4CF845f35fc461eD98e2FB8d9356B566、0xf1A50bbebA19a85dB20432c6c201aa89604dfd2B、0x9F6f1ac48E4c7E53495A99ce49974Cd1914fE17E。这些地址已被标记为高风险,可能用于后续洗钱或资产再分配。

链上授权风险警示

Permit机制允许用户通过签名方式授权代币转账,无需直接调用合约函数,提升了操作效率。然而,若用户在未核实交易细节的情况下签署,可能被诱导授权非预期金额或用途的资金,从而导致资产损失。此次事件再次提醒用户,在进行任何链上操作前,务必确认交易内容,避免因疏忽引发不可逆后果。