攻擊者在釣魚攻擊鯨魚帳戶後，抽取了$10 百萬的加密貨幣

在一宗追溯至2023年9月的重要安全事件中，一名加密貨幣投資者成為一場高級釣魚攻擊的受害者，最終損失了價值2400萬美元的質押資產。值得注意的是，攻擊者成功將價值1000萬美元的以太坊轉移至Tornado Cash，一個常用於模糊資金來源的加密貨幣混合服務。此事件凸顯了針對加密投資者的網絡威脅日益精細，以及用戶與智能合約互動時的關鍵漏洞。

這次攻擊始於受害者無意中授權了一筆看似例行的代幣交易。通過所謂的「Increase Allowance」技術，攻擊者獲得了對投資者加密資產的程式化存取權。包括CertiK在內的區塊鏈安全公司於3月21日確認了被攻擊帳戶，揭示約有3700 ETH被轉移至Tornado Cash——這是包括Rocket Pool的流動質押服務中的stETH和rETH代幣在內的2400萬美元損失的一部分。當時ETH的交易價格接近2980美元，對受害者而言，這是一個巨大的資本損失。

代幣授權如何成為攻擊者的武器

這次攻擊利用了以太坊ERC-20代幣標準的基本特性。用戶在與去中心化應用互動時，經常會授權智能合約轉移他們的代幣——這一便利功能已成為攻擊者的主要目標。根據詐騙偵測公司Scam Sniffer的分析，受害者在不知情的情況下通過代幣授權機制批准了支出權限，實際上將自己資金的控制權交給了攻擊者。

這種技術並不新穎，但其普遍性令人擔憂。PeckShield的分析顯示，攻擊者將被盜資產轉換成約13,785 ETH和164萬Dai（每個約值1美元，按當前市場價格計算）。其中部分Dai被轉入FixedFload交易所，其餘大部分資金則流經多個錢包，旨在模糊追蹤。

Tornado Cash的洗錢角色：盜取加密貨幣的中轉站

Tornado Cash是犯罪基礎設施的重要組成部分。攻擊者將加密貨幣存入此混合服務，打破了區塊鏈的透明性——這本應是加密貨幣的優勢。向Tornado Cash轉移的1000萬美元，代表攻擊者試圖將自己與可追蹤的盜款行為脫鉤，並在未被察覺的情況下套現或轉移被盜資金。

損失不斷擴大：2月的4700萬美元釣魚盜竊案

2023年9月的事件並非孤立。Scam Sniffer的全面報告顯示，僅在2月，約有4700萬美元因釣魚相關詐騙而失去。令人不安的是，78%的盜竊事件發生在以太坊網絡上，ERC-20代幣佔所有被盜資產的86%。這些數據凸顯了一個令人擔憂的現實：儘管多年來安全警示不斷，投資者仍在通過相對簡單的手段損失慘重。

近期事件進一步展現了這一漏洞的範圍。3月20日，威脅行動者利用一個過時的Dolomite交易合約，從之前授權該合約的用戶中提取了180萬美元。Dolomite的開發者緊急建議用戶撤銷所有授權，然而這一反應措施已為時過晚，受損資金已被盜。

安全措施奏效的案例：Layerswap的應對

並非所有加密安全事件都以資產完全損失告終。在Dolomite被攻擊的同一天，Layerswap團隊成功在偵測到未授權存取後，控制住了網站的攻擊。儘管他們的迅速反應避免了一場災難，但攻擊者仍在封鎖前從約50名用戶中轉走了約10萬美元。Layerswap承諾將退還受影響用戶的資金並提供額外補償——這在經常無情的加密生態系中是相當罕見的。

核心結論：為何攻擊者偏好釣魚與代幣授權

加密貨幣中釣魚攻擊持續猖獗，原因在於其高效且相對簡單。與需要大量技術專業的複雜智能合約漏洞不同，代幣授權詐騙利用了社交工程和用戶疏忽。每一筆被盜資產——無論是轉向Tornado Cash的1000萬美元，或是通過被攻破的合約轉走的較小金額——都反映出用戶意識不足與整體安全架構的缺陷。

對於加密貨幣參與者來說，這些教訓至關重要。保持警覺意味著要審查每一次合約授權，理解自己授予了哪些權限，並定期在Etherscan等平台上審核活躍的授權。對於整個行業而言，則需要共同開發更好的偵測工具、更清晰的警示系統，以及教育用戶識別釣魚攻擊的方法。在這些措施成為標準操作之前，攻擊者將持續利用釣魚和代幣授權漏洞，盜取數百萬美元的加密資產。