Edgen Crypto·Dec 09 2025, 18:49最近透過以太坊「許可」功能發生的一起44萬美元盜竊案,凸顯了針對DeFi用戶的複雜網路釣魚攻擊日益增多的趨勢。這些詐騙利用複雜的鏈上權限,導致巨額財物損失,並侵蝕了人們對生態系統的信任。
一宗透過「許可詐騙」針對單一以太坊用戶的44萬美元盜竊案,凸顯了去中心化金融(DeFi)生態系統中日益嚴重的威脅向量。此事件並非孤立,而是網路釣魚攻擊的複雜演進,這些攻擊利用區塊鏈的核心功能。這些攻擊帶來雙重威脅:它們導致投資者直接且不可逆轉的財務損失,並系統性地侵蝕DeFi協議持續成長和採用所需的用戶信任。網路犯罪分子日益專業化,正如數位詐欺的更廣泛趨勢所證明,這表明鏈上漏洞利用將變得更加普遍和複雜。
「許可詐騙」利用某些ERC-20代幣的一項功能,稱為EIP-2612。此功能允許用戶透過鏈下簽名而非標準鏈上交易來批准代幣支出,旨在實現無燃料批准。在此漏洞利用中,受害者被社會工程學誘導簽署了一條他們認為無害的訊息,例如登錄服務。然而,他們提供的簽名是針對permit功能的。此簽名授予詐騙者地址轉移受害者代幣的權限,導致44萬美元的盜竊。用戶沒有批准典型的交易,這使得攻擊特別具有欺騙性。
這種高級詐騙的激增對DeFi市場產生重大影響。首先,它加劇了用戶的擔憂,可能會減緩需要複雜權限的新協議的採用。投資者可能越來越警惕與智慧合約互動,擔心隱藏的漏洞。其次,它對DeFi應用程式開發者施加了更大的負擔,要求他們設計清晰明確地傳達簽署任何訊息後果的使用者介面。未能做到這一點可能會導致聲譽損害和總鎖定價值(TVL)的損失。此事件嚴峻地提醒我們,DeFi中的技術創新必須與用戶安全和教育的進步相匹配。
儘管沒有關於此事件的具體評論,但更廣泛的網路安全社群已經警告過這種趨勢。根據美國財政部FinCEN的報告,勒索軟體相關支付激增,2022年至2024年間報告的金額超過21億美元。這些非法支付的大部分是以比特幣(BTC)進行的。事件響應公司Coveware的執行長Bill Siegel指出,需要更好的數據收集,並表示「全面強制性報告要求」對於創建「關於攻擊嚴重性和頻率的單一真相來源」是必要的。此觀點直接適用於DeFi,其中許多損失未被報告。此外,FBI的「暫停一下」活動敦促用戶在面臨緊急行動或資訊請求時暫停並驗證——這是對促成許可詐騙的社會工程學策略的關鍵防禦。
以太坊許可詐騙是數位詐欺中更廣泛、跨行業趨勢的縮影。網路犯罪分子越來越以合法企業的複雜程度運作,利用勒索軟體即服務(RaaS)模型和先進技術。根據安全研究人員的說法,策略現在包括使用人工智慧來製作令人信服的網路釣魚訊息,「SEO污染」以操縱虛假客戶服務號碼的搜尋結果,以及創建欺詐性QR碼。所有這些方法都旨在利用人類心理並規避技術安全措施。核心問題是資訊不對稱:用戶通常不知道他們正在授予的技術許可,這是犯罪分子在傳統金融和蓬勃發展的DeFi領域中系統性利用的漏洞。隨著金融基礎設施變得更加去中心化和用戶主權,安全驗證的責任越來越落在個人身上,使得教育和懷疑精神至關重要。