Security
Ice Phishing (冰钓攻击):那个抽干你钱包的“登录”按钮
执行摘要:Ice Phishing 不会窃取你的密码;它窃取的是你的许可。通过诱骗你签署恶意代币授权,黑客可以随意抽干你的资产。本文将详细解析授权 (approve) 功能以及如何使用 Revoke.cash。
Midjourney 提示词 (Prompts)
/imagine prompt: A user clicking a shiny "Claim Airdrop" button, but underneath the button is a contract signing a deal with a digital devil, "Malicious Contract" --ar 16:9/imagine prompt: A visual representation of "Unlimited Allowance", a pipe flowing gold coins from a wallet to a black hole, "Token Drain" --ar 16:9/imagine prompt: A futuristic padlock interface showing "Revoke Permissions", turning red lights to green, "Wallet Hygiene" --ar 16:9
1. 概念:授权 (Approve) vs. 转账 (Transfer)
在以太坊/EVM中,智能合约(如 Uniswap)不能触碰你的代币,除非你给它许可。
有两种交互方式:
- 转账 (Transfer): “发送 10 USDT 给 Bob”。(一次性操作)。
- 授权 (Approve): “允许 Uniswap 从我的钱包中花费最多 1,000 USDT”。(持久性许可)。
漏洞: 为了方便起见,大多数 dApp 都会请求“无限授权”(Infinity),这样你就不必每次交易都签名。诈骗者正是滥用了这一点。
2. 攻击:“安全更新”
你收到一封电子邮件或在 Twitter 上看到一个链接:“OpenSea 安全更新:验证您的钱包以防止资产丢失。”
你点击链接。看起来和 OpenSea 一模一样。
你点击“验证 (Verify)”。
你的钱包弹出一个交易请求。
- 它没有显示“发送 ETH”。
- 它显示 "SetApprovalForAll" 或 "Approve WETH"。
- 支出者地址 (Spender Address) 是黑客的合约。
陷阱: 你以为你在“登录”或“验证”。实际上,你刚刚签署了一份法律文件,上面写着:“我授权此黑客随时转移我 所有的 NFT 和 WETH。”
他们不会立即窃取你的资金。他们会等到你存入更多资金,然后一次性全部抽干。
3. 如何阅读交易
在点击“确认”之前,请查看 数据 (Data) 选项卡或交易模拟。
危险信号 (Red Flags) 🚩
- 函数: SetApprovalForAll(这交出了你 NFT 收藏的 100% 控制权)。
- 函数: Approve(带有一个巨大的数字,如 1.1579e+59)。
- 支出者 (Spender): 一个未知的合约地址(在 Etherscan 上核实——它经过验证了吗?它的名字是 "Uniswap Router" 吗?)。
4. 补救措施:Revoke.cash
如果你怀疑自己签署了糟糕的授权:
- 前往 Revoke.cash。
- 连接你的钱包(首先使用只读模式)。
- 扫描针对未知合约的“无限授权” (Unlimited Allowances)。
- 立即撤销 (Revoke)。这需要支付一小笔 Gas 费,但能切断与黑客的联系。
延伸阅读: 想要深入了解如何关闭这些“后门”,请阅读我们的指南 隐蔽后门。同时要提防 地址投毒,它会诱骗你主动发送资金。
结论
你的助记词是银行金库的钥匙。你的“授权”是授权签字人。你不会给陌生人你银行账户的授权书——所以不要给随机网站 SetApprovalForAll。
