当智能合约变成武器：$10 百万通过钓鱼漏洞被盗走

加密货币世界在三月再次迎来警钟，安全审计公司CertiK追踪到价值$10 百万的ETH转入Tornado Cash——一个以洗钱被人熟知的加密货币混合服务。这并非一次简单的钱包被黑事件。攻击者成功利用一个看似无害的智能合约功能，窃取了无辜投资者的资金。

代币授权如何变成陷阱

危险之处在于：受害者在不知情的情况下授权了“增加额度”交易。这个功能是ERC-20代币标准中的一部分，旨在方便——允许智能合约在得到你的许可后花费你的代币。但在本案中，攻击者巧妙地利用了它。不是直接窃取资金，而是获得了随意批准和转移资产的能力。这就像把一张空白支票交给别人，希望他们不要兑现。

区块链反欺诈平台Scam Sniffer正是识别出这一机制的运作。攻击者将被盗资产转换成13,785 ETH (，按当前价格约为每个$2,950美元，总价值约为$40.6百万)，以及1.64百万DAI，然后小心翼翼地通过交易所转移部分资产以掩盖踪迹。

数字讲述的警示故事

此事件与2023年9月针对加密货币大户的钓鱼攻击活动有关。受害者在首次攻击中通过Rocket Pool流动性质押服务损失了$24 百万的质押ETH。此次利用发生在两个波次：首先转走9,579个stETH，然后从同一账户中剥夺4,851个rETH。

但9月的事件只是众多中的一个。最新数据显示，仅在2月，通过钓鱼相关的诈骗就蒸发了近$47 百万——其中78%的盗窃发生在以太坊上，ERC-20代币占被盗资金的86%。模式十分明显：代币授权已成为攻击者的首选后门。

旧合约变成攻击载体

三月带来了更多麻烦。曾被Dolomite交易所使用的一个遗留智能合约被攻破，导致用户之前授予的权限被滥用，资金被转走了180万美元。Dolomite团队紧急发布了撤销授权的公告，敦促用户撤回对该漏洞合约地址的授权。

Layerswap事件揭示了另一层脆弱性。当他们的网站通过钓鱼攻击被攻破时，约有50名用户损失了价值10万美元的资产，直到团队和域名提供商成功遏制了漏洞。虽然Layerswap承诺全额赔偿，但损失已成定局。

更大的格局：教育与技术的结合

这些并非孤立事件——它们是系统性问题的表现。代币授权让区块链功能变得更为民主，但也带来了危险的盲点。用户常常在不理解自己授权内容的情况下批准合约。普通用户与攻击者之间的技术差距不断扩大。

像CertiK和PeckShield这样的安全公司正积极防御，分析区块链交易并标记可疑行为。但事后检测无法阻止损失。真正需要的是改变用户与智能合约交互的方式：每次授权都要核实，理解每项权限的具体含义，并在钱包操作中保持警惕。

加密社区必须投入更好的工具、更清晰的UI/UX设计，以及持续的教育宣传。在技术现实与用户理解之间的差距未能缩小之前，利用代币授权进行钓鱼攻击将仍然是行业中最持久的威胁之一。