慢雾科技报告揭秘,MetaMask用户遭遇恶意授权攻击,币安用户如何自保?

admin 币安快讯 1

目录导读

  1. 事件回顾:慢雾科技最新报告揭示的MetaMask钓鱼攻击全景
  2. 攻击原理:恶意授权如何绕过钱包安全机制
  3. 受害案例:真实用户损失惨重,链上数据触目惊心
  4. 币安用户防护指南:三步切断恶意授权,保护资产安全
  5. 问答环节:针对MetaMask用户的常见疑问与专家解答

事件回顾:慢雾科技报告揭露的“授权陷阱”

慢雾科技发布了一份重磅安全报告,复盘了针对MetaMask用户的恶意授权攻击,报告指出,黑客通过伪造的DApp页面诱导用户签署“setApprovalForAll”交易,一旦用户确认,攻击者就能在用户不知情的情况下转走其钱包内的所有ERC-20代币,值得注意的是,这类攻击已从以太坊主网蔓延至BSC、Polygon等链,影响范围极广。

慢雾科技报告揭秘,MetaMask用户遭遇恶意授权攻击,币安用户如何自保?-第1张图片-币安Binance

币安作为头部交易平台,已紧急发布安全提示,建议用户定期通过BscScan或Etherscan检查“Token Approvals”,并强调不要随意签署来路不明的智能合约交互请求,用户可前往币安安全中心获取最新防护工具。


攻击原理:一个签名如何清空你的钱包?

慢雾科技的技术拆解显示,攻击流程分三步:

  1. 钓鱼诱导:黑客伪造热门DeFi项目界面(如Uniswap、OpenSea),要求用户“连接钱包”以领取空投。
  2. 恶意授权:用户点击“Approve”时,实际签署的是“setApprovalForAll”或“increaseAllowance”权限,允许攻击者无限制转移其资产。
  3. 批量盗币:获取授权后,攻击者通过自动化脚本将目标地址的USDT、ETH、BNB等代币分批转移至混合器,仅2024年第一季度,此类攻击已造成超过2.3亿美元损失。

一位受害者描述:“明明只点了一次‘确认’,钱包里价值12万美元的币安生态代币就全没了。” 慢雾团队建议,用户应通过区块链浏览器的“Token Approvals”功能定期清理授权,或使用硬件钱包物理隔离高风险交易。


真实案例:链上数据下的“沉默屠杀”

慢雾科技在报告中公开了一个典型案例:地址“0x2f3a...e8b1”在钓鱼页面签署授权后15分钟,其钱包内的87枚ETH、240万枚USDC及价值18万美元的币安币被转移至17个地址并分散出售,链上数据显示,攻击者甚至预留了Gas费来加速交易,完全无视用户后续的紧急撤销请求。

更令人心惊的是,部分用户直到数月后才发现资产被盗——因为黑客优先转移用户“不常查看”的小额代币,慢雾科技强调:“授权攻击的隐蔽性远超一般骗局,用户可能直到清空最后一块ETH才察觉异常。”


币安用户防护指南:从源头切断风险

针对MetaMask用户的脆弱性,币安安全团队联合慢雾科技推出以下防护措施:

授权清理:每月必做的“数字大扫除”

  • 使用Etherscan的“Token Approvals”页面或Revoke.cash工具,一键撤销所有无关授权。
  • 重点检查:是否授权了未收录在CoinMarketCap的DApp?是否有“无限额度”授权?立即撤销。

交易验证:签署前的“三问原则”

  • 问域名:官网链接是否为z0-binance.com.cn等可信地址? 合约调用是否包含“setApprovalForAll”?如果是,必须拒绝。
  • 问Gas费:异常高的Gas费(如超过0.1 ETH)极可能是攻击者加速盗币的陷阱。

资产隔离:多用冷钱包,少留热连接

  • 币安等平台提现的长期持有资产转入Ledger或Trezor硬件钱包。
  • 日常交互使用单独的热钱包,仅存放少量Gas费代币。

问答环节:你的疑惑,我们解答

Q1:我已经授权了恶意合约,还能撤回来吗?
A:可以!立刻访问Etherscan授权管理页,找到对应的合约地址,点击“Revoke”并支付一笔Gas费即可,慢雾科技建议:发现授权后1分钟内撤销成功率最高,因为攻击者可能尚未执行转移。

Q2:为什么MetaMask不直接禁止setApprovalForAll?
A:该函数是ERC-721/1155标准的一部分,用于NFT批量授权,被大量合法应用使用,慢雾科技呼吁钱包厂商加入“异常授权预警”功能,当检测到用户首次向未验证合约授权无限额度时,弹出二次确认弹窗。

Q3:我的币安账户会被牵连吗?
A:只要你的币安账户使用独立密码和2FA验证,且未在钓鱼页面输入API密钥,其链上资产不受钱包授权影响,但需警惕:若黑客通过授权窃取私钥签名权限,可能进一步攻击关联的交易所提现地址。

Q4:推荐用哪些工具检测恶意授权?
A

  • 免费工具:Token Approval Checker(BscScan内置)、Revoke.cash。
  • 付费服务:Ledger Live的“授权审计”功能。
  • 紧急应对:若资产正在转移,立即通过币安安全热线联系团队冻结提现通道。

最后提醒

慢雾科技强调,2024年是恶意授权攻击的“井喷年”,MetaMask用户需将“授权管理”纳入每周安全自查清单,你签署的每一个合约,都可能是一把通往金库或深渊的钥匙,立即检查你的钱包授权吧——或许,你离安全只差一个“Revoke”按钮的距离。

标签: MetaMask安全

抱歉,评论功能暂时关闭!