巨鲸损失超过600万USD因为误签恶意签名

一个加密货币鲸鱼损失超过600万美元，包括质押的姨太(stETH)和Aave包装的比特币(aEthWBTC)，因在9月18日的一次网络钓鱼攻击中不小心批准了恶意签名，依据区块链安全公司Scam Sniffer的报告。

根据报告，攻击者将此行为伪装成通过“Permit”签名进行的常规钱包确认步骤，欺骗受害者允许转移资产而未露出警告迹象。

Yu Xian，SlowMist安全公司的创始人表示，受害者没有意识到由于交易不需要支付燃料费而造成的危险。他写道：

“从受害者的角度来看，他只是点击了几次以确认从钱包弹出的签名窗口，没花一分钱的燃料费，6.28百万美元就消失了。”

###Permit 漏洞利用的工作原理

“Permit”功能旨在简化代币转移。用户可以签署一条链外消息以授权他人，而不是执行一条链上的指令并支付燃气费。

然而，正是这种便利性为恶意攻击者打开了新的攻击面。当受害者签署一个“许可”时，攻击者可以结合两个功能——许可和转移——来直接提取资产。由于授权发生在链外，钱包控制面板在资产被提取之前不会显示异常活动。

结果是当交易在链上执行时，所有的代币都被转移到了攻击者的钱包。这是一个漏洞，使得Permit exploit越来越成为黑客的首选工具，允许他们在不需要复杂的黑客技术或高昂的gas费用的情况下提取数百万美元。

###钓鱼攻击造成的损失增加

此次事件反映出网络钓鱼活动强烈增加的趋势。

根据Scam Sniffer，单在8月份，攻击者已从超过15,200名受害者那里窃取了1217万美元，比7月份增加了72%。值得注意的是，近一半的损失来自三个大钱包，其中一个钱包在一次交易中损失了308万美元。

公司认为这一增长主要源于与EIP-7702 (批量签名骗局)相关的欺诈行为，以及用户不小心直接转账到恶意合约。

在这种情况下，安全专家建议加密货币用户在签署来自钱包的请求时必须保持高度警惕，特别是要避免对自己的资产授予无限访问权限。

王迁