Edgen Crypto·Nov 05 2025, 16:17概要
一名加密货币用户因恶意“许可”签名漏洞损失了超过30万美元的aBasUSDC代币,这凸显了Web3授权机制中持续存在的漏洞,并促使人们重新发出安全警告。
- 重大损失: 一名用户损失了 304,595美元 的 aBasUSDC 代币。
- 攻击机制: 损失源于签署了 恶意“许可”签名,该签名授权了非预期的代币转移。
- 更广泛的趋势: 此事件增加了Web3安全漏洞的系列,2025年上半年总损失超过 20亿美元。
返回
返回
用户因恶意“许可”签名漏洞损失304,595 aBasUSDC
Edgen Crypto·Nov 05 2025, 16:17
执行摘要
一名加密货币用户在执行恶意“许可”签名后,损失了价值 304,595美元 的 aBasUSDC 代币,据Scam Sniffer于2025年11月5日报道,这凸显了去中心化金融领域持续存在的安全挑战。
事件详情
据报道,2025年11月5日,一名用户损失了 304,595美元 的 aBasUSDC 代币。Scam Sniffer披露并随后由PANews报道的这一事件涉及用户签署了欺诈性的“许可”签名。这种攻击方法欺骗用户授权转移他们的数字资产,而用户对此特定交易的明确知情或意图。
“许可”功能通过 EIP-2612 被引入 ERC20 协议,允许用户对代币转移进行链下授权。通常,此功能使一个账户(所有者)能够为指定接收方(花费者)生成授权签名,允许接收方执行授权操作,例如发起 transferFrom 调用,而无需所有者进行链上交易。签名包含所有者、花费者、价值和截止日期等参数。这种为提高效率而设计的机制,如果用户被诱骗签署恶意授权,就可能被利用。
市场影响
此次漏洞利用凸显了 Web3 生态系统内,特别是代币授权机制方面的一个关键漏洞。此事件之前,还有其他重大损失,例如两名用户在签署恶意 Uniswap Permit2 签名后,于2025年9月30日损失了 155,000美元 的 aBascbBTC 和 90,000美元 的 XAUt。这些事件突显了利用合法协议功能进行非法获利的攻击日益复杂。
更广泛的市场情绪依然谨慎,Web3 领域因黑客攻击、网络钓鱼诈骗和“拉毯子”骗局造成的总损失在2025年上半年达到约 21.38亿美元。根据 Beosin Alert 的监测,同期共记录了90起重大攻击事件,总损失达 20.93亿美元。此类事件,包括2025年11月3日 Balancer V2 漏洞利用中被盗的超过 1.28亿美元,加剧了投资者对去中心化金融平台安全性和完整性的担忧。
专家评论
GoPlus 等安全平台建议用户保持高度警惕,严格遵守安全协议。这包括避免不明链接,避免安装未经验证的软件,签署不明交易内容时要谨慎,以及不要将资金转移到未经验证的地址。Web3 反诈骗平台 Scam Sniffer 积极监控此类威胁,通过链下和链上数据分析相结合提供实时保护。其安全解决方案被 Binance、Bybit、OneKey、Phantom 和 TokenPocket 等主要钱包使用,旨在保护数百万用户免受网络钓鱼和欺诈。
更广泛的背景
这些漏洞的反复发生要求个人用户和 Web3 项目团队持续保持警惕。虽然“许可”功能提供了交易效率,但其被利用的情况凸显了在快速发展的技术环境中保护数字资产的持续挑战。此次事件再次强调了需要健全的安全实践,包括仔细验证交易细节和使用受信任的安全工具,以减轻与高级Web3钱包功能和授权协议相关的风险。