据 Web3 反诈骗平台 Scam Sniffer 的一份报告显示,一名用户因一年多前收到的网络钓鱼邮件而被骗走了 33 万美元。.
据 Etherscan 数据显示,受害者因该漏洞损失了价值 329,743 美元的 AAVE 代币。此案最令人匪夷所思之处在于,钓鱼邮件的授权签署时间早于 408 天,即 2024 年 2 月 10 日凌晨 12:51(UTC 时间),这使得诈骗者能够访问受害者的钱包。.
盗窃事件直到 2025 年 3 月 24 日凌晨 12:35 UTC 才发生,攻击者在一笔交易中转移了 1,999.23 个 AAVE 代币,价值 329,743 美元。.
在被盗之前,目标钱包里有价值 527,498 美元的非裔AAVE )。黑客作案后,受害者的钱包里只剩下 197,755 美元。
钱包中还包含其他资产,包括LPT。然而,黑客只转移了受害者的 AAVE 代币,因为这是此次转移的唯一目标代币。.
目前黑客身份尚未dent,受害者追回被盗资金的选择也十分有限。.
身份验证钓鱼诈骗对加密货币持有者构成严重威胁。
根据 Chainalysis 的一份报告,自 2021 年 5 月以来,加密货币领域因授权钓鱼诈骗损失了约 10 亿美元,仅 2023 年就损失了 3.74 亿美元。.
虽然“授权钓鱼”这种诈骗手段已经存在多年,但诈骗分子过去主要通过传播虚假加密货币应用程序来攻击加密货币用户。随着加密货币领域的不断发展,他们的诈骗手法也变得更加有效。.
通常,诈骗分子会通过虚假的投资机会或冒充他人来诱骗受害者发送加密货币。然而,在授权钓鱼诈骗中,诈骗分子会诱骗用户签署恶意区块链交易,从而授权诈骗分子的地址可以随意花费受害者钱包中的特定代币。这使得诈骗分子可以随意盗取受害者地址中的这些代币。.
通常,授权型网络钓鱼者会将受害者的资金发送到一个与授权地址不同的钱包,该授权地址用于代表受害者进行交易。链上模式通常是这样的:受害者地址签署一笔交易,授权第二个地址(即已获授权的支出地址)支出其资金;之后,第二个地址(即已获授权的支出地址)执行交易,将资金转移到新的目标地址。.
Metamask 的首席安全研究员 Taylor Monahan(又名@tayvano_ Dune Analytics 仪表板trac浪漫骗局式批准网络钓鱼的受害者之一。
据报道,自2021年5月以来,这些爱情骗局的受害者已因网络钓鱼诈骗损失约10亿美元。需要特别注意的是,这10亿美元的总额是基于链上模式的估算。其中一部分可能代表诈骗分子洗钱所得,而这些资金原本就已被他们控制。.
这是因为恋爱诈骗案件的报道率极低,而得出这些结果的分析最初只是基于有限的已报告案例。.
人们认为,绝大多数的申请钓鱼诈骗都是由少数非常成功的犯罪分子实施的,解决这个问题可以通过多种方式进行,从用户教育到采用模式识别策略。.
