近期,印度国家网络安全中心发布专项通告,揭示一种以伪装成合法BNB链资产验证入口为手段的新型钱包劫持手法。攻击者通过社交平台向用户发送精心仿制的链接,诱导其在非官方站点完成所谓‘身份确认’操作。一旦用户批准连接请求,恶意合约即可获取对账户代币的完全控制权,资产将在数秒内被全部转移。
该攻击模式已形成标准化五步路径:首先,受害者在Telegram、Discord或X平台上接收到伪装成项目方客服的私信;随后点击链接进入外观与真实Web3界面几乎一致的仿冒网站,仅细微差异如域名字母替换;网站引导用户执行‘资产验证’操作,触发WalletConnect或内置浏览器弹窗;当用户点击‘连接’时,系统将自动授予合约无限额度的代币操作权限;最终,后台脚本在毫秒级完成资产迁移,链上记录与正常交易无异。
对于使用Trust Wallet、MetaMask、Phantom等主流热钱包的用户,建议立即进入“已连接站点”或“授权管理”功能模块,清除所有长期未使用的连接权限。可借助Revoke.cash等免费工具全面扫描代币授权状态,重点关注标有‘无限额’或‘全系列’的授权项,这些正是攻击者操控资产的核心入口。
特别提醒NFT持有者:若曾对某合集合约启用setApprovalForAll权限,意味着第三方可自由处置该系列下全部藏品。此前一桩Coinbase钓鱼案即采用此方式实施大规模盗取。
所有已知案例均始于陌生人主动私信。正规钱包服务团队绝不会通过外部渠道发起沟通。任何要求用户‘验证身份’‘迁移资产’或‘申领奖励’的讯息,均为典型欺诈特征。印度官方明确强调:“合法钱包提供商从不通过第三方网站要求用户同步或验证资产。”遵循此原则可有效拦截多数变种攻击。
即使知名投资者也难幸免。随着针对实体身份和心理弱点的社会工程攻击上升,业内专家建议在外出期间锁定交易账户,避免在公共网络环境下进行敏感操作。
请立刻采取以下行动:第一,在所有热钱包中撤销非活跃使用的授权;第二,将长期持有的数字资产转移至硬件钱包或专用的离线‘保险库’钱包,从根本上切断与dApp的连接可能;第三,调整X、Discord及Telegram的私信设置,禁用陌生人直接发送消息的功能,彻底封堵攻击入口。授权操作虽便捷,但撤销毫无成本。攻击者依赖的是用户的疏忽,请务必守住最后一道防线。
Trust Wallet等主流钱包软件本身具备高安全性,此次风险并非源于软件缺陷,而是用户在受骗后签署恶意授权所致。攻击目标为dApp连接环节,影响范围涵盖支持WalletConnect的所有钱包,包括MetaMask、Phantom、Rabby等。
如何判断是否已被入侵?可通过Revoke.cash或Etherscan的授权查询工具检查账户关联合约。若发现陌生地址拥有无限额度权限,应立即撤销。若资产已丢失,链上交易记录会显示资金流向盗币合约,建议尽快向钱包服务商及本地网络安全部门报案。
硬件钱包能否完全免疫?不能。虽然其能有效防止私钥泄露,但若用户在设备上手动批准了恶意交易,仍可能导致资产损失。因此,核心应对策略仍是审慎核对每一次操作提示,并坚持将长期资产存放于永不接入去中心化应用的钱包中。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.