多位安全分析師指出,一位加密貨幣大戶今(11)日稍早因網路釣魚攻擊,損失超過 1.5 萬枚 Few Wrapped Duo ETH(fwDETH),價值約 3,500 萬美元。 Continue Capital 共同創辦人林嚇洪隨後發文證實,自己就是這起竊案的受害者。
這起事件起因於加密貨幣用戶簽署了「Permit」釣魚簽名,導致攻擊者成功將錢包內的 fwDETH 代幣全部轉走。 安全公司派盾(PeckShield)和 BlockSec 也證實了這一事件。 BlockSec 共同創辦人 Andy Zhou 表示:
攻擊者誘導受害者簽署 Permit 離線授權簽名,接著利用授權簽名從受害者的帳戶中提取 fwDETH 。
據指,駭客是利用「Permit 簽名」進行釣魚攻擊。一般而言,加密貨幣用戶通常需要 Approve 之後才可以將代幣轉移至別的合約,但如果合約支援 Permit,則可以通過 Permit 離線簽名,跳過 Approve 環節直接進行授權,也無需支付 Gas 費用。
然而,進行授權之後也就意味著第三方擁有了相應的控制權,隨時可以轉走用戶授權的資產。
根據 Lookonchain 的說法,這次遭遇釣魚攻擊的錢包疑似與區塊鏈創投 Continue Capital 有關,對此,共同創辦人林嚇洪則是發文指出:「一不小心暴露我沒退圈,被動做了次慈善上頭條了。」
一不小心暴露我没退圈,被动做了次慈善上头条了
— Xiahong (吓) Lin (@xhlin) October 11, 2024
這次攻擊不僅讓林嚇洪損失鉅額資產,隨著駭客迅速將代幣出售套現,也造成 fwDETH 劇烈震盪,幣價在短短數小時內從原本的 2000 美元急跌超過 90%,一度下探 100 美元,後來才回升至 1000 美元左右。
這次事件再次提醒加密貨幣用戶,網路釣魚攻擊風險不容忽視,應避免簽署可疑訊息以防資產遭竊。
〈因簽署「Permit 釣魚簽名」被盜!大戶錢包內 1.5 萬枚 fwDETH 慘遭洗劫〉這篇文章最早發佈於《區塊客》。
