关键要点
一名用户因与458天前签署的恶意合约相关的诈骗损失了近100万美元的USDC。专家警告称,这种延迟的漏洞利用趋势正在成为加密货币窃贼的常用策略。
一名加密货币用户损失了 908,551 美元美元硬币 [USDC],在成为一场利用 15 个月前签署的恶意合同批准而导致钱包被掏空的骗局的受害者之后。
根据链上数据,受害者得到正式认可的2024 年 4 月 30 日的恶意智能合约,很可能是通过虚假空投或伪装成合法平台的网络钓鱼网站进行的。
随后,骗子耐心等待了近 16 个月,才于 2025 年 8 月 2 日发动最后一击,从受害者钱包中盗取了近一百万美元的 USDC。
钱包审批时间过长会让人感到恐惧
此次攻击可追溯到一项 ERC-20 批准,该批准悄悄地授予了链接到 pink-drainer.eth 地址的诈骗者钱包“0x67E5Ae”的访问权限。
该合同允许代币转移,无需任何进一步的用户确认。
据在 X 上标记该事件的 Scam Sniffer 称,此次盗窃发生在受害者不知情的情况下批准恶意交易的 458 天后。
“定期审查并撤销旧的批准——您的钱包安全至关重要!”
在这种情况下,被入侵的钱包之前只表现出少量、低价值的活动,这可能有助于它逃避雷达的监测。
这一切是怎么开始的?
7 月 2 日,事情发生了急剧转变。
受害者从MetaMask于 UTC 时间晚上 8:41 发送到一个新的钱包 (0x6c0eB6)。
仅仅十分钟后,他们又从 Kraken 账户充值了 146,154 美元。这些操作在链上公开,很可能引起了骗子的注意。
攻击者没有立即采取行动,而是又等了一个月,很可能是为了确认不会出现撤销或额外存款。然后,他于8月2日凌晨4:57(UTC时间)发动了袭击。
被盗资金被发送到标有 Fake_Phishing322880 的地址,并被 Scam Sniffer 标记为恶意地址。
诈骗手段越来越高明
这表明,与加密相关的诈骗日益复杂,因为不法分子利用了技术和信任。
从人工智能生成的 Ripple 高管深度伪造视频,到冒充 YouTube 频道宣传虚假 XRP 赠品,诈骗者正在利用现实欺骗毫无戒心的用户。
与此同时,160 亿条巨额凭证泄露事件的再次曝光,也加剧了各个平台的风险。
在一个令人震惊的案例中,一个有针对性的网络钓鱼攻击结合紧急程度、模仿和跨平台操纵等手段,甚至可以欺骗经验丰富的网络安全专家。
甚至经验丰富的用户也沦为受害者。
甚至连网络安全分析师克里斯托弗·罗莎 (Christopher Rosa) 也遭遇了使用欺骗性电子邮件、虚假 Coinbase 电话和协同社会工程学的网络钓鱼诈骗。
结论很简单但至关重要:旧的批准不会过期,攻击者不会忘记。
