攻击者在对鲸鱼账户的钓鱼攻击后，吸走了$10 百万加密货币

在追溯到2023年9月的一次重大安全事件中，一名加密货币投资者成为了一次复杂钓鱼攻击的受害者，最终损失了2400万美元的质押资产。值得注意的是，攻击者成功将价值1000万美元的以太坊转移到Tornado Cash——一种常用于模糊资金来源的加密货币混合服务。此次事件凸显了针对加密投资者的网络威胁日益复杂，以及用户与智能合约交互中存在的关键漏洞。

此次泄露始于受害者无意中授权了一笔看似常规的代币交易。通过所谓的“Increase Allowance”技术，攻击者获得了对投资者加密资产的程序化访问权限。包括CertiK在内的区块链安全公司于3月21日确认了被攻账户，揭示约有3700 ETH被转移至Tornado Cash——这次损失总额达2400万美元，其中包括Rocket Pool的流动质押服务中的stETH和rETH代币。当时ETH的价格接近2980美元，这对受害者来说是巨大的资本损失。

代币授权如何成为攻击加密用户的武器

此次攻击利用了以太坊ERC-20代币标准的一个基本特性。当用户与去中心化应用交互时，通常会授权智能合约转移其代币——这项便利功能已成为攻击者的主要目标。据诈骗检测专家Scam Sniffer称，受害者在不知情的情况下通过代币授权机制批准了支出权限，实际上将其加密资产的钥匙交给了攻击者。

这种技术并不新颖，但其普遍性令人担忧。PeckShield的分析显示，攻击者将被盗资产转换为大约13785 ETH和164万DAI（每个在当前市场价约为1美元）。虽然部分DAI被转入FixedFload交易所，但大部分被盗资金通过多个钱包流转，旨在模糊追踪路径。

Tornado Cash的关联：洗钱被盗加密货币

Tornado Cash是犯罪基础设施的重要组成部分。通过将加密货币存入该混合服务，攻击者打破了区块链的透明性——这是加密货币本应消除的关键优势。向Tornado Cash转账的1000万美元代表攻击者试图与可追踪的盗窃行为划清界限，隐匿踪迹后进行提现或转移。

损失不断上升的模式：2月的4700万美元钓鱼盗窃

2023年9月的事件并非孤例。Scam Sniffer的全面报告显示，仅在2月，钓鱼相关的诈骗就导致近4700万美元的损失。令人不安的是，这些盗窃事件中有78%发生在以太坊网络上，ERC-20代币占所有被盗资产的86%。这些数据揭示了一个令人担忧的现实：尽管多年来安全警告不断，投资者仍在通过相对简单的利用技术中损失巨额资金。

近期事件进一步显示了这一漏洞的范围。3月20日，威胁行为者利用过时的Dolomite交易合约，成功从之前授权该合约的用户账户中盗取了180万美元。Dolomite的开发者紧急建议用户撤销对旧合约地址的所有权限，但为时已晚，受损资金已无法挽回。

安全响应奏效的案例：Layerswap的经验

并非所有加密安全事件都导致资产全部丧失。在Dolomite被攻的当天，Layerswap团队成功遏制了一次网站攻击，检测到未授权访问后迅速采取行动。虽然他们的快速反应避免了一场灾难，但仍有约50名用户被盗走了大约10万美元。在事件得到控制后，Layerswap承诺为受影响用户提供退款和额外补偿——在这个常常无情的加密生态中，这种做法十分罕见。

结论：为何攻击者偏爱钓鱼和代币授权

加密货币中钓鱼攻击持续存在，原因在于其高效且相对简单。不同于需要大量技术专业知识的复杂智能合约漏洞利用，代币授权诈骗利用了社交工程和用户疏忽。每一次资产被盗——无论是转移到Tornado Cash的1000万美元，还是通过被攻合约流失的较小金额——都反映出用户意识的不足和整体安全基础设施的缺陷。

对加密货币参与者而言，教训至关重要。保持警惕意味着要审查每一次合约授权，理解自己授予了哪些权限，并定期在Etherscan等平台上审查活跃的授权。对行业而言，则需要共同开发更好的检测工具、更清晰的警示系统，以及教育用户识别钓鱼攻击的措施。在这些措施成为行业标准之前，攻击者将继续通过钓鱼和代币授权漏洞，窃取数百万美元的加密资产。