一名黑客盗走了超过 44 万美元 美国财政部 据周一报道,一名钱包主人在不知情的情况下签署了一份恶意“许可”签名。 鸣叫 由诈骗嗅探器提供。
这起盗窃案发生之际,网络钓鱼诈骗造成的损失正在激增。据诈骗嗅探器(Scam Sniffer)统计,11月份,超过6000名受害者被骗走约777万美元。 月度报告 调查发现,总损失比 10 月份增加了 137%,而受害者人数却下降了 42%。
该公司指出:“捕鲸活动愈演愈烈,单笔最高金额达122万美元(许可证签字费)。尽管袭击事件有所减少,但个人损失却显著增加。”
什么是许可证诈骗?
基于许可的诈骗是指诱骗用户签署看似合法的交易,但实际上却暗中赋予攻击者使用其代币的权限。恶意 去中心化应用 可能会伪装字段、伪造合同名称,或者将签名请求伪装成例行公事。
如果用户未能仔细审查细节,签署请求实际上就等于授予攻击者访问用户所有信息的权限。 ERC-20代币 一旦贷款获批,诈骗分子通常会立即盗走资金。
该方法利用了 以太坊 该功能的许可功能旨在通过允许用户将支出权限委托给受信任的应用程序来简化代币转移。然而,当这些权限被授予攻击者时,这种便利就变成了安全漏洞。
Twinstake产品负责人Tara Annison表示:“这种攻击类型的棘手之处在于,攻击者既可以一次性完成授权和代币转移(一种速战速决的攻击方式),也可以通过授权给自己授予访问权限,然后潜伏等待转移后续追加的资金(只要他们在授权函数元数据中设置了足够长的访问截止日期)。” 解密 .
“这类骗局的成功在于,你会签署一些你并不完全了解其后果的文件,”她说道,“这一切都是利用了人性的弱点和人们的急切心理。”
安妮森补充说,这起事件绝非个例。“有很多金额巨大、数量庞大的网络钓鱼诈骗案例,旨在诱骗用户签署他们并不完全理解的文件。这些诈骗通常伪装成免费空投、虚假项目落地页(诱使用户连接钱包)或欺诈性安全警告(诱使用户检查是否受到影响)。”她补充道。
如何保护自己
钱包 服务提供商一直在推出更多保护性功能。 MetaMask 例如,如果某个网站看起来可疑,它会向用户发出警告,并尝试将交易数据转化为人类可读的意图。其他钱包也会以类似的方式突出显示高风险操作。但诈骗分子仍在不断变换伎俩。
Circuit 的创始人兼首席执行官 Harry Donnelly 表示 解密 授权式攻击“相当普遍”,并敦促用户检查发件人地址和合同详情。
他说:“这是最直接的判断方法,如果使用的协议与你实际想要汇款的目的地不符,那么很可能是有人试图窃取资金。你可以查看金额,他们经常会尝试给予无限次的批准,诸如此类。”
安尼森强调,保持警惕仍然是用户最强有力的防御手段。“保护自己免受许可、批准全部或转账诈骗的最佳方法是确保您清楚自己签署的内容。交易中实际会执行哪些操作?使用了哪些功能?这些与您当初以为签署的内容相符吗?”
“许多钱包和去中心化应用都改进了用户界面,以确保用户不会盲目签名,并且能够看到签名的后果,还会对正在使用的高风险功能发出警告。然而,用户主动检查自己签名的内容至关重要,而不仅仅是连接钱包然后点击签名,”她说道。
一旦资金被盗,追回的可能性很小。Zircuit Finance 的联合创始人兼技术主管 Martin Derka 表示 解密 追回资金的可能性“几乎为零”。
他说:“在网络钓鱼攻击中,你面对的是一个一心只想骗取你钱财的人。没有谈判,没有联系人,而且通常你也不知道交易对手是谁。”
德尔卡说:“这些攻击者玩的是概率游戏。”他补充道:“一旦钱没了,就再也追不回来了。基本上不可能追回。”
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
发布者:币下载 转转请注明出处:https://www.baidudian.cn/289120.html
