$24M 網絡釣魚 blitz：黑客如何武器化代幣授權

一位加密貨幣鯨魚在2023年9月被擊垮——而黑客們剛剛兌現了。$10 百萬被盜姨太在3月21日進入了Tornado Cash，這是由於一起釣魚攻擊，共計盜取$24 百萬。

這是戰術手冊：

第一階段：社交工程陷阱 受害者授權了一筆"增加津貼"的交易。聽起來無辜，對吧？錯了。這一步驟讓攻擊者可以使用智能合約直接從受害者的錢包中支出ERC-20代幣。經典手法——受害者完全沒有預料到。

第二階段：提取

• 拖走了 9,579 姨太 (火箭池質押)
• 獲取了4,851姨太
• 轉換爲 13,785 姨太 + 1.64M DAI
• 通過混合器和次級錢包進行轉移

這件事的重要性

這不是個邊緣案例。詐騙嗅探器數據顯示**$47 百萬在二月份因釣魚而損失**——78%是以太坊，ERC-20 代幣受損最嚴重(86%的所有被盜資金)。

真正的關鍵是什麼？代幣授權正在成爲新的攻擊向量。一周前，一個舊的Dolomite合約被利用，導致$1.8M被榨取。相同的故事：用戶已授予授權，攻擊者只是執行了。

模式

這些攻擊利用了一個弱點：用戶不理解他們在簽署什麼。你批準了一項交易的合同，攻擊者得到了一個空白支票。

底線：在點擊任何合約上的"批準"之前，問問自己——我真的信任這個地址擁有無限代幣訪問權限嗎？大多數情況下，答案應該是否定的。

安全公司(CertiK、PeckShield、Scam Sniffer)可以追蹤資金，但一旦進入Tornado Cash，他們無法將其追回。這是一個用戶教育問題，而不是技術問題。