作為一種新的策略,騙子現在正在使用Uniswap V3的合法功能Multicall來繞過安全措施並進行高級的釣魚攻擊。就是這個策略最近導致了一名不幸被詐騙行為誘惑的受害者失去了85個Lido ETH。
騙子是如何做到的呢?
這位受害者的經歷說明了黑客濫用許可權簽名的趨勢,使得花費者看起來像是Uniswap Multicall合約,以進行未經授權的資產轉移。
Web3反詐騙平台Scam Sniffer通報了此類詐騙行為給社區。通過Multicall的許可權和轉移功能的聚合函數,騙子從受害者那裡偷偷地成功執行了交易,該受害者失去了85個Lido ETH,根據市場價格幾乎相當於269,620美元。
為了不被MEV(礦工可提取價值)機器人發現,攻擊者還進行了檢查,以確保原始地址的真實性,從而使攻擊者的活動得以掩蓋,使識別過程變得更加困難。
儘管針對這種威脅引入了不同的對策,但領先交易仍然被證明是一個無法克服的障礙。
保護自己免受此類攻擊的方法
開發者對此做出反應,啟動了改進了許可權檢查的Multicall合約的新版本,以確保不會再發生領先交易的嘗試。加密貨幣使用者應該謹慎行事,不要向Uniswap Multicall或類似的合約提供任何代幣批准。
由於ERC代幣批准功能是無權限環境的本質,打擊釣魚攻擊可能相當具有挑戰性。
隨著加密貨幣生態系統的不斷發展,保持對最佳安全實踐的認識,遠離惡意行為者,並對去中心化金融系統保持信任至關重要。保持知情,保持安全!
同樣的事件還有:
WBTC投資者在欺詐性釣魚攻擊中損失了7100萬美元
標籤:
黑客