授权漏洞致百万USDT被盗,用户需警惕钓鱼签名陷阱

Web3 2026-07-09 14:07:26
核心提要:一名以太坊用户因签署恶意授权,导致999,999 USDT被快速转移。攻击者利用合法权限机制绕过私钥泄露,仅通过伪造页面诱导签名即完成盗取。事件揭示了当前钱包授权系统中的深层安全隐患。

恶意授权致百万稳定币瞬间蒸发,非私钥泄露所致

一位以太坊持有者因在未经验证的界面中签署代币授权,致使钱包内近百万美元的USDT被迅速清空。此次损失并非源于助记词外泄或智能合约缺陷,而是由标准ERC-20授权机制被滥用所引发。

高价值稳定币成恶意授权主要目标

由于USDT具备与法币挂钩、交易流动性强及结算速度快等特性,使其成为攻击者重点锁定对象。当用户在虚假申领页、伪装应用或被篡改的前端界面中点击授权时,其钱包会生成可被恶意方使用的支出许可,而无需破解私钥。

攻击者首次尝试提取100万USDT失败,因实际余额不足;但在36秒后修正金额,成功将剩余全部资金转移,凸显出自动化攻击的高效性。

授权审查缺失是核心风险点

用户应将所有签名请求视为实质性的财务操作,而非简单的登录流程。关键审查项包括:访问域名真实性、连接钱包地址、被授权代币种类、支出方身份、授权额度以及请求行为是否符合预期用途。

近期类似事件频发,如Polymarket平台因第三方脚本污染导致294万美元损失,问题根源在于受损前端依赖,而非合约漏洞。被盗资金随后经由Polygon桥转入新钱包,进一步增加追踪难度。

该案例再次印证:一旦用户授予权限,攻击者即可在撤销机制生效前完成资产转移,因此定期清理闲置授权、使用可信工具核查历史权限,已成为防范此类攻击的关键措施。

上一篇 Plume联手Nest将RWA收益接入币...
下一篇 索尼获美监管批准设立稳定币银行...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U