admin
作为一种新的策略,钱包掏空者现在正在利用Uniswap V3的一个合法功能Multicall来规避安全措施并进行高级的网络钓鱼攻击。就是这种策略最近导致了一名不幸被诈骗行为引诱的受害者失去了85个Lido ETH。
黑客是如何做到的呢?
这位受害者的经历说明了黑客滥用许可签名的上升趋势,这使得花费者看起来像是未经授权的资产转移的Uniswap Multicall合约。
Web3 反骗平台Scam Sniffer通过这个骗子最新的行动向社区发出了警报。在Multicall的聚合功能中,钱包掏空者利用许可和转移功能,悄无声息地并成功地执行了从受害者那里窃取的交易,受害者失去了85个Lido ETH,按市场汇率算大约是269,620美元。
为了不被MEV(矿工可提取价值)机器人发现,攻击者还进行了检查,以确保起源地址的真实性,从而使攻击者的活动被掩盖,使识别过程更加困难。
尽管引入了不同的对抗措施来应对这种威胁,但抢先交易仍然被证明是一道不可逾越的障碍。
如何保护自己免受此类攻击?
开发者们对此做出了反应,启动了一个改进了权限检查的新版本Multicall合约,以确保不再发生抢先交易的尝试。加密货币用户有责任小心行事,不要向Uniswap Multicall或类似合约授予任何代币批准。
由于ERC代币批准功能与无需许可的环境的性质是固有的,针对网络钓鱼攻击的防范可能会相当具有挑战性。
随着加密货币生态系统的不断发展,通过远离恶意行为者并对去中心化金融系统保持信任,保持对最佳安全实践的意识至关重要。保持知情并保持安全!
还可以阅读关于同一事件的信息:
WBTC投资者在欺骗性网络钓鱼攻击中损失了7100万美元
标签
黑客
