一起44万美元黑客事件揭示以太坊“授权骗局”日益增长的威胁

简要说明

• 一位USDC持有者在签署了恶意的“permit”交易后损失了超过44万美元。
• “Permit”钓鱼攻击占据了11月最大个体加密损失案例。
• 专家警告，诈骗者依赖人为失误，资金追回几乎不可能。

Decrypt的艺术、时尚与娱乐中心。

探索SCENE

根据Scam Sniffer周一的推文，一名黑客在钱包持有者无意中签署了恶意“permit”签名后，盗走了超过44万美元的USDC。

此次盗窃发生在钓鱼损失激增之际。Scam Sniffer的月度报告显示，11月有超过6000名受害者被盗约777万美元，总损失较10月激增137%，即使受害者数量下降了42%。

🚨 有人在签署恶意“permit”签名后损失了440,358美元$USDC 。pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 反诈骗 (@realScamSniffer) 2025年12月8日

“巨鲸猎杀加剧，最高损失为122万美元(permit签名)。尽管攻击次数减少，个体损失显著增长。”该公司指出。

什么是permit诈骗？

Permit类诈骗的核心在于诱导用户签署看似正常、实则悄悄赋予攻击者花费其代币权限的交易。恶意dapp可能伪装字段、伪造合约名称，或将签名请求伪装成例行操作。

如果用户未仔细核查详情，签署请求实际上等同于赋予攻击者访问所有ERC-20代币的权限。一旦权限被授予，诈骗者通常会立即转走资金。

该方法利用了以太坊的permit函数，原本设计为让用户更便捷地将花费权限授权给可信应用。但当这些权限被授予攻击者时，便利性就变成了漏洞。

“这种攻击类型尤其棘手，因为攻击者可以在一笔交易中同时完成permit和代币转移(类似‘闪电抢劫’)，也可以仅通过permit获取访问权限后潜伏，等用户后续充值再转走(只要在permit元数据里设置足够远的访问截止时间)。”Twinstake产品负责人Tara Annison对Decrypt表示。

“这类骗局的成功依赖于你签署了你并未完全理解其后果的内容，”她补充道，“核心就是利用人的弱点，利用大家的急切心理。”

Annison还表示，类似事件绝非个案。“有很多金额大、数量多的钓鱼骗局，目的是诱导用户签署他们并不真正明白的内容。常见形式包括冒充空投、假项目官网连接钱包、或伪造安全警告检查受影响情况等。”

如何保护自己

钱包服务商正在推出更多防护功能。例如MetaMask会在网站可疑时提醒用户，并尝试将交易数据转化为人类可读意图。其他钱包也会突出高风险操作。但诈骗者仍在不断升级手法。

Circuit创始人兼CEO Harry Donnelly对Decrypt表示，permit类攻击“相当普遍”，并敦促用户核查发送地址和合约详情。

“这是最直接的判断方法，如果协议不匹配你实际要转账的平台，那很可能就是有人想盗取资金，”他说，“你还可以核对金额，很多攻击者会尝试设置无限授权。”

Annison强调，警惕仍然是用户最强的防线。“防范permit、approveAll或transferFrom类诈骗的最佳方式，就是确保你明白自己在签什么。这笔交易会实际执行哪些操作？调用了哪些函数？这些是否与你本意一致？”

“许多钱包和dapp已改进用户界面，确保你不是盲目签署，同时也会对高风险操作发出警告。但用户仍需主动核查自己要签的内容，而不是仅仅连接钱包就直接点击签名。”她说。

一旦被盗，资金基本无望追回。Zircuit Finance联合创始人兼技术负责人Martin Derka对Decrypt表示，追回资金的几率“几乎为零”。

“钓鱼攻击面对的就是专门想要拿走你资金的个人。没有协商、没有联系方式，往往连对方是谁都不知道。”他说。

“这些攻击者玩的是数字游戏，”Derka补充道，“一旦钱没了，就真的没了。基本不可能追回。”