最新消息显示,鼓狮快讯从慢雾余弦获悉了一起严重的 DeFi 钓鱼攻击事件。据详细报告,一名用户在 Google 搜索 Aave 时误点了一个伪造链接,导致其 Uniswap 流动性池(LP)NFT 被恶意合约盗取,最终造成约 123 万美元的资产损失。被盗资产具体包括 491,239 美元的 USDe 和 744,997 美元的 USDT,损失规模相当惊人。
攻击者通过精心设计的钓鱼页面,诱使用户授权 Uniswap 的 LP NFT,随后利用 Uniswap 的 multicall 机制批量执行授权与资产转移操作。这一技术手段使得攻击过程自动化且难以追踪,进一步加剧了受害者的损失。慢雾余弦的安全分析指出,攻击者可能通过搜索引擎优化(SEO)手段,将钓鱼链接伪装成官方页面,从而欺骗用户点击。
此次事件再次敲响警钟,提醒所有 DeFi 用户务必提高安全意识。首先,应避免通过搜索引擎直接访问 DeFi 协议,因为恶意链接可能通过 SEO 优化占据搜索结果前列。其次,访问任何 DeFi 实质操作前,务必手动输入官网链接或通过可信的浏览器扩展进行验证,确保链接的真实性。此外,用户还应注意检查网页的 SSL 证书和域名是否与官方一致,防止被钓鱼网站欺骗。
慢雾余弦建议,DeFi 用户应定期检查自己的智能合约授权状态,特别是涉及 Uniswap 等主流协议的 LP NFT。一旦发现异常授权,应立即通过官方渠道联系平台客服或社区寻求帮助。同时,DeFi 协议方也应加强安全防护措施,例如增加钓鱼网站检测机制,或通过多重验证方式提升用户操作的安全性。只有用户和平台共同努力,才能有效降低 DeFi 领域的安全风险,保护用户资产安全。