投资者在假冒的Uniswap上仅在一次点击中损失了100万美元

一场网络钓鱼攻击导致一位加密货币投资者损失近100万美元，因为他不小心签署了一系列伪装成Uniswap上的交换的恶意交易，报告来自区块链安全公司Scam Sniffer。

在8月22日，SlowMist的创始人余翔表示，涉及通过以太坊新EIP-7702机制的挖矿交易被盗的5种代币的事件。

他解释道：“从用户被攻击的角度来看，过程如下：他们打开一个钓鱼网站，钱包签名对话框弹出，他们点击确认，仅仅通过一个动作，钱包中的所有有价值资产立刻消失。”

EIP-7702 和新风险

EIP-7702在Pectra升级中被引入，以改善以太坊用户体验。该功能允许钱包作为一个临时智能合约运作，支持同时进行多笔交易，允许资助gas费用或在一步中设定支出限额。

原则上，这个授权是可以撤回的，并且只适用于特定的网络。然而，实际上，攻击者已经找到利用这一机制的方法。

来自安全社区的警告

市场制造商Wintermute警告称这一标准的实施正受到广泛利用。该公司的6月分析显示，超过90%的EIP-7702授权与恶意合约相关。许多合约只是简单的复制粘贴代码，自动扫描并从易受攻击的钱包中提取资产。

Scam Sniffer和余翔建议用户在签署钱包请求前需要谨慎。预防措施包括：仔细检查域名，不要急于确认，并拒绝模糊或范围过大的签名。

一些警告迹象包括：请求授予无限支出权限，升级合约至EIP-7702或模拟交易不符合预期。

石生