於2025年8月22日,一宗令人震驚的加密貨幣詐騙事件成為對DeFi領域風險的深刻提醒。根據安全平台ScamSniffer的報告,一位用戶因簽署了一筆偽裝成NFT交易的惡意交易,損失了約100萬美元的代幣與Uniswap交換。
此事件是典型的釣魚及簽名詐騙案例,利用了去中心化交易的便利性以及用戶的疏忽。
釣魚詐騙的運作方式:假簽名的誘餌
此類詐騙因其巧妙的執行手段顯得格外具有欺騙性,主要分幾個關鍵步驟:
-
假網站,真的欺詐:攻擊者創建了一個幾乎完美模仿官方Uniswap介面的假網站。這些網站通常透過釣魚鏈接散播,可以出現在虛假的廣告、惡意社交媒體帖子或甚至看似合法的私人訊息中。用戶在不知情的情況下可能被引導至該假網站。
-
誘使您簽署惡意交易:當用戶在假網站上發起交易(例如代幣交換)時,該網站生成了一個惡意交易請求並提示用戶進行簽署。這並非普通的Uniswap交易簽名;而是為惡意合約提供的簽名,其中包括“批量交易批准”或其他隱藏的許可。
-
資產的默默轉移:一旦用戶簽署了這項惡意請求,他們便在不知情的情況下授予攻擊者批量操作其錢包資產的許可。攻擊者接著利用這項許可,從受害者的錢包中盜取高價值資產,包括代幣與NFT,而無需用戶進一步授權。
此案例中的受害者簽署了一份偽造的“批量結算”請求,該請求偽裝成簡單的交換交易,導致其錢包被完全清空。這類攻擊之所以如此危險,是因為它看起來與普通的DeFi操作完全一致,但其底層代碼完全是為竊取資金而設計。
如何保護您的加密貨幣:避免簽名詐騙的關鍵步驟
簽名詐騙在加密貨幣世界中十分常見,但您可以通過以下簡單措施顯著降低風險:
-
始終核實網域:僅通過官方渠道或您的書籤進入去中心化交易所。在進行任何操作之前,請檢查瀏覽器地址欄中的網址,以確保它是官方網域。
-
謹慎對待每個簽名請求:當錢包中彈出簽名請求時,不要急於點擊“確認”。仔細閱讀請求。如果您使用的是像 MetaMask 這樣的 EVM 錢包,它通常會顯示交易細節。如果有任何可疑之處或您不認識要求授權的智能合約,立即取消請求。
-
使用交易模擬工具:許多錢包和第三方安全工具(如 ScamSniffer)提供交易模擬功能。在簽署之前模擬交易的結果。如果模擬顯示您的資產將被轉移至未知地址,那就是明顯的詐騙警告。
-
定期檢查錢包授權:許多詐騙依賴於長期授權。養成定期檢查並撤銷不必要或可疑授權的習慣。您可以使用像 Etherscan 或其他錢包安全服務管理合約授權。
-
使用獨立錢包:不要將所有高價值資產存放在一個錢包中。為連接 dApps 和簽署交易使用專用的“熱錢包”,並將大多數資產保存在更安全、使用頻率較低的錢包中,最好是冷錢包。
在 Web3 的世界中,您的簽名就是您的身份,您的授權就是您的指令。保護您的簽名是保護您的資產的最佳方式。保持警惕,不要讓一次點擊成為數百萬美元損失的開始。