一名用戶最近成為交易模擬欺騙騙局的受害者,損失了143.45 ETH,相當於460,895 美元。這種複雜的漏洞利用了現代Web3 錢包中旨在提高用戶透明度的關鍵功能:交易模擬。
此功能允許用戶在簽名之前預覽交易的預期結果。
然而,攻擊者利用模擬和執行之間短暫的時間間隔來欺騙使用者。透過網路釣魚網站,他們在用戶提交交易後立即改變鏈上狀態,使惡意活動在模擬過程中顯得合法。
攻擊如何進行
1. 釣魚網站提示「認領」ETH 交易。
2. 錢包模擬顯示收到的ETH 金額可以忽略不計(例如,0.000…0001 ETH)。
3. 同時,釣魚網站後端修改合約狀態。
4. 受害者在不知道狀態變化的情況下簽署了交易。
5. 實際交易執行,耗盡受害者的錢包。
1/8 
安全警報:1 天前,受害者透過交易模擬欺騙損失了143.45 ETH(460,895 美元)。
這些攻擊是如何運作的… 
pic.twitter.com/IQTSS8I3dp
— 詐騙嗅探器| Web3 反詐騙(@realScamSniffer) 2025 年1 月10 日
在最近的一個案例中,受害者在合約狀態更改後大約30 秒簽署了一筆交易,使攻擊者能夠竊取他們的所有資金。
保護自己
為避免成為此類詐騙的受害者,請考慮以下事項:
– 仔細檢視所有交易細節。
– 驗證合約互動的合法性。
– 警惕涉及「免費索賠」的優惠。
– 僅使用受信任的去中心化應用程式(dApp)。
錢包改進以降低風險
錢包開發者可以透過以下方式增強用戶保護:
– 基於即時區塊鏈資料刷新的動態模擬。
– 交易簽署前強制模擬更新。
– 顯示模擬時間戳記和區塊高度。
– 整合已知網路釣魚合約的封鎖清單。
– 警告使用者有關過時的模擬結果。
保持警惕並採用這些做法可以幫助保護您的資產免受日益複雜的Web3 攻擊。
揭露:這不是交易或投資建議。在購買任何加密貨幣或投資任何服務之前,請務必進行研究。
在Twitter 上關注我們@nulltxnews,了解最新的加密貨幣、NFT、人工智慧、網路安全、分散式運算和Metaverse 新聞
圖片來源:Max Bender/Unsplash // Colorcinch 的圖像效果
資訊來源:由0x資訊編譯自NULLTX。版權歸作者Will Izuchukwu所有,未經許可,不得轉載