加密貨幣大鯨在高級釣魚詐騙中損失$10 百萬，資產經由混合服務轉移

一場重大的安全漏洞再次讓加密貨幣社群高度警覺。2023年9月，一名投資者成為協調式釣魚攻擊的受害者，盜取了$24 百萬的質押數位資產。這起事件特別值得注意的不僅是巨額損失，還有其中所涉及的技術複雜性以及盜取資金通過混淆渠道的後續轉移。

攻擊展開：兩階段搶劫

這次攻擊分為兩個精心策劃的階段，針對受害者在主要質押協議中的持有資產。在初次入侵中，Rocket Pool的流動性質押服務中的9,579個stETH被轉走。第二波攻擊則移除了額外的4,851個rETH，總損失達到$24 百萬。到3月21日，區塊鏈取證公司CertiK追蹤到攻擊者將3,700 ETH（根據近期市場行情約值$10 百萬）轉入Tornado Cash混合服務，有效掩蓋了資金的來源和後續流向。

代幣授權如何成為薄弱環節

這次漏洞利用了一個看似簡單卻極具效果的攻擊向量：濫用代幣授權機制。詐騙偵測平台Scam Sniffer揭示，受害者在不知情的情況下授權了一筆“增加授權額度”的交易。這個看似無害的操作賦予攻擊者一個危險的特權——能夠利用智能合約自動化轉移ERC-20代幣。

這個漏洞源於以太坊的代幣標準運作方式。當用戶與去中心化應用互動時，經常會授權合約超出單次交易範圍的資產支出。雖然這樣做方便，但也成為高階犯罪分子的主要攻擊面。

轉換流程

PeckShield的安全分析師記錄了攻擊者的轉換策略。被盜的數位資產被系統性地轉換成13,785 ETH（按當前匯率約每單位$2,950）和1.64百萬Dai穩定幣（保持$1.00的掛鉤）。部分Dai被轉入FixedFload交易所，剩餘資金則消失在無法追蹤的錢包地址中。

系統性問題逐漸擴大

這起(百萬的事件只是更大安全危機中的一個節點。近期數據顯示，僅在二月，釣魚相關的詐騙就共盜取了近)百萬。集中風險令人擔憂——78%的盜竊事件針對以太坊網絡，86%的被盜資金來自ERC-20代幣。

這個漏洞不僅限於孤立事件。在此案引起關注之前，Dolomite交易所的過時智能合約被利用來竊取了180萬美元，受害者之前已授權相關合約。Dolomite緊急反應，警告用戶撤銷對該漏洞合約地址的授權。

當偵測奏效：Layerswap案例

並非所有安全漏洞都導致資產完全損失。3月20日的Layerswap事件展現了快速應對的重要性。儘管攻擊者成功入侵平台網站，並從約50個用戶帳戶中提取約10萬美元，但團隊迅速與域名供應商協調，避免了更大災難。值得一提的是，Layerswap承諾將賠償所有受影響用戶，並額外補償因中斷造成的損失。

對整體社群的啟示

這些連鎖事件凸顯了用戶與區塊鏈協議互動中的一個關鍵漏洞。代幣授權，雖然促進了真正的去中心化金融功能，但也成為高階社交工程攻擊的 Trojan 馬。釣魚攻擊仍然低技術——誘騙用戶訪問假冒網站並確認惡意交易——但其破壞性極大。

未來的路在於多層防禦：提升用戶對無限制合約授權風險的教育、制定更嚴格的代幣授權標準、改進釣魚偵測工具，以及加強對成熟平台的安全審計。隨著攻擊越來越協調且技術日益精進，安全公司、協議開發者與個人用戶都必須保持高度警覺，並謹慎核實每一筆交易。