根據GoPlusEco發布的安全預警,攻擊者利用「create2」功能預先計算將部署合約的位址,然後欺騙使用者授予權限。由於這些空白位址可以繞過位址標記和安全公司的安全監控,一旦使用者授予權限,攻擊者就會向該位址部署合約,並將使用者的資產轉出。此攻擊特點: 1、「create2」是一種部署方法,允許預測性建立合約位址,使攻擊者能夠在部署合約之前欺騙使用者授予權限。 2、由於授權時合約尚未部署,因此攻擊位址是一個空的EOA(外部擁有帳戶)位址,對於偵測工具來說是不可見的,具有高度隱藏性。建議從源頭警惕網路釣魚攻擊,記住常用協議URL或使用瀏覽器書籤管理官方網站至關重要,此外,請仔細檢查簽名期間授權的地址是否為空白(EOA)地址,因為這可能會帶來重大風險。
dark