Edgen Crypto·Dec 09 2025, 18:49最近透过以太坊 “许可”功能发生的一起44万美元盗窃案,凸显了针对DeFi用户的复杂网络钓鱼攻击日益增多的趋势。这些诈骗利用复杂的链上权限,导致巨额财物损失,并侵蚀了人们对生态系统的信任。
一宗透过“许可诈骗”针对单一以太坊用户的44万美元盗窃案,凸显了去中心化金融(DeFi)生态系统中日益严重的威胁向量。此事件并非孤立,而是网络钓鱼攻击的复杂演进,这些攻击利用区块链的核心功能。这些攻击带来双重威胁:它们导致投资者直接且不可逆转的财务损失,并系统性地侵蚀DeFi协议持续增长和采用所需的用户信任。网络犯罪分子日益专业化,正如数字诈欺的更广泛趋势所证明,这表明链上漏洞利用将变得更加普遍和复杂。
“许可诈骗”利用某些ERC-20代币的一项功能,称为EIP-2612。此功能允许用户透过链下签名而非标准链上交易来批准代币支出,旨在实现无燃料批准。在此漏洞利用中,受害者被社会工程学诱导签署了一条他们认为无害的讯息,例如登录服务。然而,他们提供的签名是针对permit功能的。此签名授予诈骗者地址转移受害者代币的权限,导致44万美元的盗窃。用户没有批准典型的交易,这使得攻击特别具有欺骗性。
这种高级诈骗的激增对DeFi市场产生重大影响。首先,它加剧了用户的担忧,可能会减缓需要复杂权限的新协议的采用。投资者可能越来越警惕与智能合约互动,担心隐藏的漏洞。其次,它对DeFi应用程序开发者施加了更大的负担,要求他们设计清晰明确地传达签署任何讯息后果的用户界面。未能做到这一点可能会导致声誉损害和总锁定价值(TVL)的损失。此事件严峻地提醒我们,DeFi中的技术创新必须与用户安全和教育的进步相匹配。
尽管没有关于此事件的具体评论,但更广泛的网络安全社群已经警告过这种趋势。根据美国财政部FinCEN的报告,勒索软件相关支付激增,2022年至2024年间报告的金额超过21亿美元。这些非法支付的大部分是以比特币(BTC)进行的。事件响应公司Coveware的首席执行官Bill Siegel指出,需要更好的数据收集,并表示“全面强制性报告要求”对于创建“关于攻击严重性和频率的单一真相来源”是必要的。此观点直接适用于DeFi,其中许多损失未被报告。此外,FBI的“暂停一下”活动敦促用户在面临紧急行动或信息请求时暂停并验证——这是对促成许可诈骗的社会工程学策略的关键防御。
以太坊许可诈骗是数字诈欺中更广泛、跨行业趋势的缩影。网络犯罪分子越来越以合法企业的复杂程度运作,利用勒索软件即服务(RaaS)模型和先进技术。根据安全研究人员的说法,策略现在包括使用人工智能来制作令人信服的网络钓鱼讯息,“SEO污染”以操纵虚假客户服务号码的搜索结果,以及创建欺诈性QR码。所有这些方法都旨在利用人类心理并规避技术安全措施。核心问题是信息不对称:用户通常不知道他们正在授予的技术许可,这是犯罪分子在传统金融和蓬勃发展的DeFi领域中系统性利用的漏洞。随着金融基础设施变得更加去中心化和用户主权,安全验证的责任越来越落在个人身上,使得教育和怀疑精神至关重要。