$24M 钓鱼抢劫：黑客如何将代币授权变成一个抽干资金的机器

还记得“只是批准一笔交易”曾经看起来毫无危险吗？今年三月，一次区块链安全警钟证明了事实并非如此。

在2023年9月，一位加密货币大户通过钓鱼攻击，损失了$24 百万美元，目标是Rocket Pool的质押服务。攻击过程非常典型：黑客诱导受害者签署一笔“增加授权额度”的交易——基本上把他们的代币保险箱的钥匙交了出去。损失金额？在两个阶段中，9,579个stETH + 4,851个rETH被盗。

快进到3月21日：CertiK发现黑客将3,700 ETH（约1000万美元）转移到Tornado Cash，一个旨在模糊资金轨迹的混币服务。到那时，PeckShield的分析显示被盗资产已被合并为13,785 ETH + 164万DAI，部分资金已通过FixedFloat等平台转出，并散布在多个钱包中。

为什么这很重要 (以及你为什么要关心)

这并不是某个奇特的智能合约漏洞——而是代币授权滥用，这是加密货币中最被忽视的漏洞之一。Scam Sniffer的报告描绘了一个阴暗的局面：仅在二月份，钓鱼造成的损失就达到了(百万美元，其中78%的攻击发生在以太坊上，涉及ERC-20代币的盗窃占比高达86%。

最令人担忧的是，不只是大玩家会受害。3月20日，Dolomite的用户发现他们之前授权的一个旧合约被用来抽取钱包中的资金，交易所不得不紧急发出撤销授权的通知。

出了什么问题 )以及可能的解决方案$47

在DeFi中，代币授权是必要的“恶”——它允许协议代表你执行交易。但问题在于：一旦你授权，你就信任那个合约“永远”可以操作你的资金，直到你手动撤销。黑客利用这一点，通过以下方式进行攻击：

1. 诱导你通过钓鱼授权恶意合约
2. 系统性地逐步抽取你的钱包资金
3. 通过Tornado Cash等服务混淆资金轨迹

不过，并非所有故事都以损失告终。Layerswap展示了快速应对可以最大限度减少损失——他们在网站被攻破后及时阻止了盗窃事件，并赔偿了用户的损失。

现实的警示

加密安全领域正处于一场军备竞赛中。每一次钓鱼攻击都暴露出新的漏洞，每一次漏洞利用都让黑客学到新招数。损失和灾难的差别，往往只在于你是否及时撤销了旧的代币授权。

今年三月的事件并非孤例——它们是警示。随着DeFi变得愈发复杂，攻击手段也在不断升级。