Edgen Crypto·Nov 05 2025, 16:17
概要
一名加密貨幣用戶因惡意「許可」簽名漏洞損失了超過30萬美元的aBasUSDC代幣,這凸顯了Web3授權機制中持續存在的漏洞,並促使人們重新發出安全警告。
- 重大損失: 一名用戶損失了 304,595美元 的 aBasUSDC 代幣。
- 攻擊機制: 損失源於簽署了 惡意「許可」簽名,該簽名授權了非預期的代幣轉移。
- 更廣泛的趨勢: 此事件增加了Web3安全漏洞的系列,2025年上半年總損失超過 20億美元。
用戶因惡意「許可」簽名漏洞損失304,595 aBasUSDC
Edgen Crypto·Nov 05 2025, 16:17
執行摘要
一名加密貨幣用戶在執行惡意「許可」簽名後,損失了價值 304,595美元 的 aBasUSDC 代幣,據Scam Sniffer於2025年11月5日報導,這凸顯了去中心化金融領域持續存在的安全挑戰。
事件詳情
據報導,2025年11月5日,一名用戶損失了 304,595美元 的 aBasUSDC 代幣。Scam Sniffer披露並隨後由PANews報導的這一事件涉及用戶簽署了欺詐性的「許可」簽名。這種攻擊方法欺騙用戶授權轉移他們的數字資產,而用戶對此特定交易的明確知情或意圖。
「許可」功能通過 EIP-2612 被引入 ERC20 協議,允許用戶對代幣轉移進行鏈下授權。通常,此功能使一個賬戶(所有者)能夠為指定接收方(花費者)生成授權簽名,允許接收方執行授權操作,例如發起 transferFrom 調用,而無需所有者進行鏈上交易。簽名包含所有者、花費者、價值和截止日期等參數。這種為提高效率而設計的機制,如果用戶被誘騙簽署惡意授權,就可能被利用。
市場影響
此次漏洞利用凸顯了 Web3 生態系統內,特別是代幣授權機制方面的一個關鍵漏洞。此事件之前,還有其他重大損失,例如兩名用戶在簽署惡意 Uniswap Permit2 簽名後,於2025年9月30日損失了 155,000美元 的 aBascbBTC 和 90,000美元 的 XAUt。這些事件突顯了利用合法協議功能進行非法獲利的攻擊日益複雜。
更廣泛的市場情緒依然謹慎,Web3 領域因黑客攻擊、網路釣魚詐騙和“拉毯子”騙局造成的總損失在2025年上半年達到約 21.38億美元。根據 Beosin Alert 的監測,同期共記錄了90起重大攻擊事件,總損失達 20.93億美元。此類事件,包括2025年11月3日 Balancer V2 漏洞利用中被盜的超過 1.28億美元,加劇了投資者對去中心化金融平台安全性和完整性的擔憂。
專家評論
GoPlus 等安全平台建議用戶保持高度警惕,嚴格遵守安全協議。這包括避免不明連結,避免安裝未經驗證的軟體,簽署不明交易內容時要謹慎,以及不要將資金轉移到未經驗證的地址。Web3 反詐騙平台 Scam Sniffer 積極監控此類威脅,通過鏈下和鏈上數據分析相結合提供實時保護。其安全解決方案被 Binance、Bybit、OneKey、Phantom 和 TokenPocket 等主要錢包使用,旨在保護數百萬用戶免受網路釣魚和欺詐。
更廣泛的背景
這些漏洞的反复發生要求個人用戶和 Web3 項目團隊持續保持警惕。雖然「許可」功能提供了交易效率,但其被利用的情況凸顯了在快速發展的技術環境中保護數字資產的持續挑戰。此次事件再次強調了需要健全的安全實踐,包括仔細驗證交易細節和使用受信任的安全工具,以減輕與高級Web3錢包功能和授權協議相關的風險。
[1] 用戶因惡意「許可」簽名損失304,595美元 (https://www.techflowpost.com/newsletter/detai ...)[2] 用戶因惡意簽名損失304,595美元aBasUSDC代幣 - Phemex (https://vertexaisearch.cloud.google.com/groun ...)[3] 兩名用戶簽署惡意許可簽名後損失超過245,000美元 - KuCoin (https://vertexaisearch.cloud.google.com/groun ...)
