最新安全警报:慢雾余弦平台近日披露了一起重大钓鱼攻击事件,一名用户在不知情的情况下签署了恶意交易,导致价值约100万美元的代币和NFT资产被瞬间盗取。此次攻击手法极为隐蔽,攻击者通过精心设计的钓鱼网站,诱骗用户点击签名确认按钮。
攻击者首先利用EIP-7702标准,将受害者的MetaMask钱包委托授权给其控制的MetaMask Delegator。这一步骤看似无害,实则为后续操作埋下伏笔。随后,攻击者通过合约调用Uniswap Universal Router,在用户毫不知情的情况下,迅速将委托授权内所有资产转移至攻击者账户。整个过程仅需受害者一次签名确认,即可完成整个资金转移流程。
慢雾余弦安全研究员指出,此类钓鱼攻击之所以能得手,主要源于用户对钓鱼网站缺乏警惕性。钓鱼网站通常伪装成合法交易平台或通知页面,诱导用户主动点击签名按钮。一旦用户确认,所有资产将瞬间被转移,且由于区块链交易不可逆的特性,追回难度极大。
此次事件再次提醒广大加密货币用户,务必提高安全防范意识。在签署任何交易前,务必确认交易方真实性,避免在不明网站点击签名确认。同时,建议用户定期检查钱包委托授权状态,确保未授权的委托均被及时撤销。对于重要资产,可考虑使用多重签名钱包等更高级别的安全措施,以降低资产被盗风险。