以太坊用戶因惡意授權漏洞損失440,358枚USDC

來源：CryptoNewsNet
原標題：以太坊用戶因惡意permit漏洞損失440,358美元USDC
原文連結：

一名加密用戶在以太坊上因無意中批准了一個詐騙「permit」簽名，導致攻擊者將其錢包中的440,358美元USDC盜走，這一消息已由Web3安全平台Scam Sniffer證實。

受害者使用的錢包地址為0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605，他批准了一筆惡意交易，授予攻擊者完全的支配權限。Scam Sniffer發現資金被轉入兩個標記為0xbb4…666f682aF和0x6a3aF6…d8F9a00B的不同地址。

釣魚攻擊者簽署[image]USDC(轉帳離開受害者錢包

根據Etherscan區塊鏈數據，攻擊者利用了一筆「permit」交易，這類簽名在轉移代幣時無需持有人手動確認。即使在簽名當下沒有資金轉移，攻擊者也可以稍後填寫金額並提現，無需再次獲得同意，本次案件中填寫的金額為440,358美元。

一旦被批准，攻擊者就利用FiatTokenProxy合約（處理USDC交易）多次調用「transferFrom」。在週一世界協調時10點左右，22,000 USDC被發送至一個「Fake Phishing」帳戶，66,060美元被發送至地址0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF，352,300美元同時發送至0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B。

Scam Sniffer還報導了另一宗發生於11月7日的釣魚事件，當時另一名用戶在簽署詐騙permit訊息僅30分鐘後，損失了122萬美元USDC和一枚PlaUSDT0代幣。

這家Web3安全公司的11月釣魚報告顯示，總損失達到777萬美元，較10月的328萬美元激增1137%。儘管損失金額飆升，受害用戶人數卻減少了42%，11月共有6,344位受害者，較上月的10,935人下降42%。

不到一週前，有駭客利用「地址投毒」手法在以太坊上竊取了110萬USDT。據Ramiel Capital投資長Kyle Soska介紹，該團隊監控巨鯨錢包的小額外部轉賬，然後利用GPU生成極為相似的偽裝地址。

「在這種情況下，攻擊者會向受害者鏈上發送極小額的Tether交易，使偽裝地址出現在受害者Web3錢包的近期活動列表中。受害者隨後誤將大額資金發送到該地址，」Soska解釋道。

假冒詐騙充斥假日購物季

加密釣魚攻擊的升溫正值假日購物季數位詐騙激增之際。追蹤全球消費者釣魚趨勢的網路安全公司Darktrace報告稱，感恩節前一週模仿美國大型零售商的詐騙案件較10月同期激增201%。

一週內偽造梅西百貨、沃爾瑪和Target的電子郵件增長了54%，但整體而言，亞馬遜最常被冒用，佔所有釣魚攻擊的80%，遠超蘋果、阿里巴巴和Netflix等數位消費品牌。

僅11月初，卡巴斯基就檢測到146,535封涉及季節性折扣的垃圾郵件，其中2,572封與雙十一活動相關。許多訊息都重複使用往年驗證過的模板，詐騙分子冒充亞馬遜、沃爾瑪和阿里巴巴，宣稱提前開賣，將用戶導向假結帳頁以竊取帳戶資料並進行惡意授權。

卡巴斯基安全網路 )KSN( 的數據顯示，1月至10月間，該公司攔截了6,394,854次針對網路商店、銀行及支付系統的釣魚攻擊。這些攻擊中有近一半（48.2%）專門針對網購用戶。

同一期間，卡巴斯基還發現超過2,000萬次針對遊戲平台的攻擊，其中1,856萬次濫用Discord，該公司認為Discord正成為偽裝為遊戲軟體的惡意檔案散布點。

娛樂平台也成為重點攻擊目標，2025年記錄到801,148起以Netflix為主題、576,873起以Spotify為主題的釣魚企圖。公司還記錄了2,054,336起假冒Steam、PlayStation和Xbox等遊戲平台的釣魚攻擊。

此外，卡巴斯基還記錄了20,188,897次偽裝為「常用軟體」的惡意程式感染企圖，其中Discord佔18,556,566次，年增超過14倍，遠高於去年同期事件數。