據多份報告顯示,一名加密貨幣用戶損失了價值約 108 萬美元的 Aave 封裝以太坊 LBTC (aEthLBTC),這是一種基於Aave協議的代幣化比特幣資產,這很可能是一起網絡釣魚攻擊事件。
據 ScamSniffer 稱,涉事用戶簽署了一份惡意“許可”簽名,這正是導致代幣被盜的原因。該簽名是一種鏈下授權機制,據稱它允許在不觸發鏈上交易的情況下花費代幣。
ScamSniffer分享了交易截圖。至於受害者是如何落入騙局的,他們認為詐騙者會通過釣魚網站或克隆的去中心化應用程序(dApp)誘騙受害者簽署授權書,從而獲得訪問權限並盜取錢包資金。
這起騙局是如何發生的?
SlowMist 的創始人 Cosine 對此次收穫發表了評論,指出此次攻擊背後的特定網絡釣魚組織並非“主流”的竊密組織之一,這表明出現了規模較小、技術更嫻熟的獨立攻擊者。
他們行動迅速,迅速將資金兌換成ETH,然後立即通過 Tornado Cash 洗錢。
1月3日,ScamSniffer在其X頁面上重點報道了這起事件,此前不久,該網站發佈了2025年度報告。據Cryptopolitan審閱,該報告顯示,加密貨幣網絡釣魚造成的損失總體下降了83%,從4.94億美元降至8400萬美元。
然而,報告強調,老練的資金竊取者依然層出不窮。他們似乎只是像牛市期間常見的情況一樣,專門針對高價值持幣者發起基於授權許可的攻擊。
基於授權的攻擊依賴於用戶對常規簽名請求的信任,這些請求實際上授權了鏈下代幣轉移。不幸的是,對於這類詐騙,由於資金轉移發生在鏈上且交易不可逆,因此追回損失的可能性極低。
加密貨幣網絡釣魚造成的損失下降了,但扳手攻擊卻增加了。
雖然 ScamSniffer 已證實 2025 年加密貨幣網絡釣魚損失有所下降,但加密貨幣安全專家聲稱所謂的“5 美元扳手攻擊”的頻率有所上升。
加密貨幣分析公司TRM Labs的全球政策和政府事務主管阿里·雷德博德稱,2025年將是扳手襲擊事件創紀錄的一年,據報道,將有約60起針對加密貨幣持有者的肢體襲擊事件,高於2024年的41起和2021年的36起。然而,雷德博德認為實際發生的襲擊事件數量要高得多。
“許多案件僅被記錄為搶劫或入室盜竊,而忽略了加密貨幣因素;另一些案件則因受害者猶豫不決或不確定執法部門將如何處理與加密貨幣相關的犯罪而從未被報告,”雷德博德聲稱。
這種被稱為“扳手攻擊”的網絡安全風險得名於這樣一個想法:即使是最複雜的加密和數據安全形式也容易受到物理脅迫——就像受到“5 美元扳手”的威脅一樣。
這些攻擊無疑比網絡釣魚攻擊和協議攻擊更嚴重,因為它們不僅危及資產,還危及生命,這使得維護適當的 OPSEC 比錢包管理最佳實踐更具挑戰性。
“無論你採取多少技術預防措施或使用多少因素進行身份驗證,沒有人能夠免受人為攻擊,”Hybrid Minds Advisory 首席執行官兼 Secret Foundation 前總裁 Tor Bair 表示。
雖然扳手襲擊的真實數量難以量化,但似乎受害風險更高,或者至少人們對這種威脅的認識更深刻。
去年五月,法國內政部長布魯諾·雷塔洛 (Bruno Retailleau) 就該國加密貨幣相關襲擊事件的增加發表了講話。當時,法國是 2025 年約三分之一的扳手襲擊事件的發生地,其中包括今年一月 Ledger 聯合創始人戴維·巴蘭 (David Balland) 及其妻子被綁架和折磨的備受矚目的案件。
