一樁44萬美元駭客事件揭示以太坊「授權詐騙」日益嚴重的威脅

概要

• 一名USDC持有者在簽署惡意的「permit」交易後損失超過44萬美元。
• 「Permit」釣魚攻擊佔據了11月個人加密貨幣損失事件中的最大宗。
• 專家警告詐騙者依賴人為疏失，資金追回的機率極低。

Decrypt 藝術、時尚與娛樂專區。

探索 SCENE

一名駭客在錢包持有者不知情下簽署了惡意的「permit」簽名後，竊取了超過44萬美元的USDC，根據Scam Sniffer於週一的推文表示。

這起竊案發生於釣魚損失激增之際。Scam Sniffer的每月報告顯示，11月有超過6000名受害者損失約777萬美元，總損失較10月激增137%，即使受害人數下降了42%。

🚨 有人在簽署惡意的「permit」簽名後損失了440,358美元 $USDC 。 pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 反詐騙 (@realScamSniffer) 2025年12月8日

「巨鯨狩獵加劇，最高單筆損失達122萬美元 (permit簽名)。儘管攻擊次數減少，個別損失顯著增長，」該公司指出。

什麼是 permit 詐騙？

Permit 相關詐騙是透過誘騙用戶簽署看似合法、實則暗中賦予攻擊者花費其代幣權利的交易。惡意的 dapp 可能會偽裝欄位、偽造合約名稱，或將簽名請求呈現為日常操作。

如果用戶未仔細檢查細節，簽署請求就等同於授權攻擊者存取其所有 ERC-20 代幣。一旦獲得權限，詐騙者通常會立即將資金清空。

此手法利用了 Ethereum 的 permit 函式，該功能原設計是讓用戶能將花費權限授予受信任的應用，簡化代幣轉移流程。然而，當權限授予攻擊者時，便利性也成為了漏洞。

Twinstake 產品主管 Tara Annison 告訴 Decrypt：「這類攻擊特別棘手之處在於，攻擊者可以在一筆交易中同時執行 permit 及代幣轉移 (類似搶劫式手法)，或僅用 permit 取得存取權後潛伏，等待將來有新資金入帳時再轉走 (只要 permit 元資料中設置的存取截止期限足夠遠)。」

「這類詐騙能成功，關鍵在於你簽了一個你沒完全了解功能的東西，」她補充：「一切都是利用人的弱點與急切心理。」

Annison 補充，這類事件並非孤例。「有許多高價值、高頻率的釣魚詐騙，專門設計來誘騙用戶簽署他們不完全理解的內容。常見手法包括假空投、偽造項目官網引誘連接錢包、或是冒充安全警告讓用戶確認自己是否受影響。」

如何保護自己

錢包服務商正陸續推出更多防護功能。例如 MetaMask 會在網站可疑時提醒用戶，並嘗試將交易數據轉譯為更易理解的意圖。其他錢包也會標示高風險操作。但詐騙手法也在持續進化。

Circuit 創辦人兼執行長 Harry Donnelly 告訴 Decrypt，permit 類型攻擊「相當普遍」，並呼籲用戶檢查發送者地址及合約細節。

「這是最明確的判斷方法。如果協議與你實際想要轉帳的目標不符，那很可能就是有人企圖盜取資金，」他表示。「你也可以檢查金額，他們通常會嘗試取得無限授權。」

Annison 強調，提高警覺仍是用戶最強的防線。「防止 permit、approveAll 或 transferFrom 詐騙的最佳方式，是確保你知道自己在簽什麼。這筆交易實際會做哪些操作？用到了哪些函式？這些是否與你原本的預期一致？」

「許多錢包與 dapp 已改善使用者介面，讓你不會盲目簽署內容，並可看到可能的結果，也會對高風險操作進行警告。但最重要的是，用戶必須主動審查自己簽署的內容，而不是只連接錢包然後直接點擊簽署，」她說。

一旦資金被盜，追回的可能性極低。Zircuit Finance 聯合創辦人暨技術負責人 Martin Derka 告訴 Decrypt，追回資金的機率「基本為零」。

「在釣魚攻擊中，你面對的是唯一目標就是取得你資金的個人。沒有協商、沒有聯絡窗口，通常也不知道對方是誰，」他說。

Derka 補充：「這些攻擊者玩的是數字遊戲。一旦資金流失，就一去不回。基本上不可能追回。」