以太坊用户因恶意许可漏洞损失440,358枚USDC

来源：CryptoNewsNet
原标题：以太坊用户因恶意 permit 漏洞损失 440,358 美元 USDC
原文链接：

据 Web3 安全平台 Scam Sniffer 确认，一名加密货币用户在以太坊上因无意中批准了一个欺诈性的“permit”签名，导致攻击者能够耗尽其钱包，损失了 440,358 美元的 USD Coin（(USDC)）。

受害人使用的钱包地址为 0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605，其批准了一笔恶意交易，授予攻击者完全的支配权。Scam Sniffer 发现资金被转移到两个不同的地址，分别为标记为 0xbb4…666f682aF 和 0x6a3aF6…d8F9a00B。

钓鱼攻击者签署 $440K USDC( 转账

根据 Etherscan 的区块链数据，攻击者利用了一种“permit”交易，这是一种无需持有者手动确认即可转移代币的签名类型。即使在签名时没有资金发生转移，攻击者也可在事后填写金额并提现，无需进一步同意。本次事件中，攻击者填写了 440,358 美元。

一旦获得批准，攻击者便通过 FiatTokenProxy 合约（负责 USDC 交易）多次调用“transferFrom”。在周一世界协调时上午 10 点左右，22,000 USDC 被发送到一个“Fake Phishing”账户，66,060 美元转入地址 0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF，352,300 美元同时转入 0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B。

Scam Sniffer 还报告了 11 月 7 日的另一宗钓鱼事件，另一用户在签署欺诈性 permit 消息后仅 30 分钟内损失了 122 万美元 USDC 和一枚 PlaUSDT0 代币。

Web3 安全公司 11 月份的钓鱼报告显示，损失总额达到 777 万美元，较 10 月份的 328 万美元激增 1137%。尽管损失激增，受害者人数却下降了 42%，11 月受影响用户为 6,344 人，较上月的 10,935 名受害者下降 42%。

不到一周前，部分黑客利用“地址投毒”在以太坊上盗走了 110 万 USDT。据 Ramiel Capital 首席信息官 Kyle Soska 称，该团伙监控鲸鱼钱包的小额外部转账，然后利用 GPU 算力生成几乎一模一样的相似地址。

“Soska 表示，攻击者会向受害者链上发送极小额的泰达币交易，使得相似地址出现在受害者 web3 钱包的近期活动列表中，受害者随后可能误选该地址进行大额转账。”

节日购物季诈骗冒充行为泛滥

与加密相关的钓鱼攻击激增之际，节日购物季的数字诈骗也在上升。网络安全公司 Darktrace 跟踪全球消费者钓鱼趋势，报告称感恩节前一周冒充美国主要零售商的诈骗较 10 月同期激增 201%。

冒充梅西百货（Macy’s）、沃尔玛（Walmart）和塔吉特（Target）的邮件在一周内增长 54%，而亚马逊则是最常被冒充的公司，占所有钓鱼企图的 80%，远超苹果、阿里巴巴和 Netflix 等数字消费品牌。

仅 11 月初，卡巴斯基检测到 146,535 封涉及季节性折扣的垃圾邮件，其中 2,572 封与光棍节活动相关。许多邮件复用往年模板，骗子假冒亚马逊、沃尔玛和阿里巴巴，宣传提前抢购活动，将用户引导至伪造结账页以窃取凭证并执行恶意授权。

卡巴斯基安全网络（)KSN）数据显示，1 月至 10 月间，该公司共拦截 6,394,854 次针对网店、银行与支付系统的钓鱼尝试。其中，近一半（48.2%）专门针对网购者。

同一时期，卡巴斯基还记录了 2,000 多万次针对游戏平台的攻击，其中 1,856 万次利用 Discord，卡巴斯基称其为恶意文件伪装成游戏软件的分发点。

娱乐平台也成为重点目标，2025 年记录了 801,148 次以 Netflix 为主题、576,873 次与 Spotify 相关的钓鱼尝试。公司还记录了 2,054,336 次冒充 Steam、PlayStation 和 Xbox 游戏平台的钓鱼事件。

此外，卡巴斯基还记录了 20,188,897 次伪装成“常用软件”的恶意软件感染尝试，其中 Discord 占多数，达 18,556,566 次，较去年报告的事件高出 14 倍以上。