

2026年7月9日,一名以太坊持有者在签署一笔看似常规的代币授权交易后,其钱包中近100万美元的USDT被迅速转走。此次事件由GoPlus Security披露,攻击者通过精心设计的钓鱼页面诱使用户授权恶意合约,从而获得对账户内稳定币的完全控制权。
受害者地址0x8C949361…62530F89因向多个伪造服务授予无限额度的代币权限,致使攻击者可在无需额外确认的情况下随时提取资产。此类攻击常伪装为合法空投申领、紧急钱包修复或主流协议交互界面,利用用户对常见操作流程的信任实施欺诈。一旦授权生效,即便数月后仍可执行转账,形成持久性威胁。
攻击过程显示高度自动化特征:首次尝试转移整额100万美元失败后,系统在36秒内自动调整策略,成功提取剩余约999,999 USDT。关键攻击地址包括0x6D8c0703…13a32b9、0xf84c6257…3E68d93及0xc508a8…70Da1,主交易哈希为0x6e882fd8…f2e6ffb9。监控数据显示,此类攻击正通过脚本实时扫描高价值钱包,一旦发现权限开放即刻执行变现。
代币授权漏洞仍是个人资产损失的首要根源。该机制源于ERC-20标准中允许用户将支出权限委托给外部合约的设计。诈骗者借此构建外观合规的虚假界面,设置永久性授权额度,使攻击具备长期潜伏能力。2026年以来,类似案件频发,涵盖虚假NFT铸造、伪冒Uniswap广告链接等场景。其中一起案例中,用户点击假冒谷歌广告后连接钱包并批准交易,最终损失超40万美元,揭示出付费推广渠道亦被用于社会工程攻击。
尽管部分安全机构报告称整体钓鱼损失呈下降趋势,但此类攻击依然活跃,表明当前用户认知与工具防护未能跟上攻击手段的迭代速度。此次事件反映2026年安全格局的新动向:攻击重心从智能合约缺陷转向用户行为弱点。此前数据显示,私钥泄露占加密黑客损失总量约40%,而2026年第二季度成为年度黑客事件最密集期。
行业建议采取多重防护措施:部署具备风险预警功能的安全插件;定期使用Revoke.cash等工具审查并撤销已授权合约;在签名前通过区块浏览器独立核验目标地址合法性;坚决拒绝未经请求的链接或未验证的去中心化应用交互。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.