當智能合約成為武器：$10 百萬透過釣魚攻擊被盜走

加密貨幣世界在三月再次受到警示，安全審計公司CertiK追蹤到價值$10 百萬美元的ETH轉入Tornado Cash——一個以洗錢被譽為臭名昭著的加密貨幣混合服務。這不僅僅是一次錢包被駭事件。攻擊者成功利用一個看似無害的智能合約功能來抽取資金，讓毫無戒心的投資者陷入陷阱。

代幣授權如何變成陷阱

危險就在於此：受害者在不知情的情況下授權了一個「增加授權額度」的交易。這個功能是ERC-20代幣標準中的一部分，原本設計是為了方便——允許智能合約在得到你的許可後花費你的代幣。但在這次事件中，攻擊者巧妙地利用了它。他們沒有直接偷取資金，而是獲得了批准和轉移資產的能力。就像是把空白支票交給別人，卻希望他們不會兌現。

區塊鏈詐騙偵測平台Scam Sniffer正是識破了這一機制。攻擊者將被盜資產轉換成13,785 ETH (，價值約4,060萬美元（按目前約2,950美元/枚的價格計算）)，以及1.64百萬DAI，然後謹慎地通過交易所轉移部分資產以掩蓋蹤跡。

數字講述的警示故事

這起事件與2023年9月針對一個加密貨幣大戶的釣魚攻擊行動相關聯。受害者在那次初次攻擊中，損失了$24 百萬美元的質押ETH，通過Rocket Pool的流動性質押服務。這次攻擊分兩波進行：首先移除了9,579個stETH，接著又從同一帳戶中剝奪了4,851個rETH。

但9月的事件只是眾多中的一例。最新數據顯示，僅在2月，近$47 百萬美元就因釣魚相關詐騙而蒸發——其中78%的盜竊發生在以太坊上，ERC-20代幣佔盜取資金的86%。模式已經很明顯：代幣授權已成為攻擊者最喜歡的後門。

舊合約成為攻擊向量

三月帶來更多麻煩。一個由Dolomite交易所曾用的遺留智能合約被攻破，導致用戶之前授權的資金被抽走，總額達180萬美元。Dolomite團隊緊急發布撤銷授權的建議，敦促用戶撤回對該脆弱合約地址的授權。

Layerswap事件揭示了另一層脆弱性。當他們的網站遭到釣魚攻擊時，約50名用戶損失了價值10萬美元的資產，直到團隊和域名提供商成功遏制了漏洞。儘管Layerswap承諾全額賠償並提供補償，但損失已經造成。

更宏觀的視角：教育與技術的結合

這些並非孤立事件——它們是系統性問題的徵兆。代幣授權讓區塊鏈功能的普及成為可能，但也創造了一個危險的盲點。用戶經常在未理解自己授予了哪些權限的情況下批准合約。普通用戶與攻擊者之間的技術素養差距正不斷擴大。

像CertiK和PeckShield這樣的安全公司正積極防守，分析區塊鏈交易並標記可疑動作。但事後的偵測無法阻止損失。真正需要的是改變用戶與智能合約互動的方式：每次授權都要核實，理解每個權限的含義，並在錢包操作中保持警覺。

加密社群必須投資於更好的工具、更清晰的UI/UX設計，以及持續的教育推廣。在技術現實與用戶理解之間的鴻溝未能縮小之前，釣魚攻擊利用代幣授權的威脅將持續是行業中最棘手的問題之一。