加密货币
批准钓鱼
定义
批准钓鱼是一种加密骗局,它欺骗您授予智能合约权限,以便从您的钱包中移动您的代币或NFT。
什么是批准钓鱼?
批准钓鱼是一种基于钱包的骗局,攻击者说服你签署链上权限——通常是代币批准或NFT操作员批准——这让他们的地址或合约可以在以后转移资产,而无需再次询问。诈骗不是通过窃取你的种子短语,而是滥用正常的钱包提示(“连接”,“签名”,“批准”)来获取看似常规的同意。这是加密钱包诈骗的核心模式之一,以及如何避免它们,因为你签署的交易可能是有效且不可逆的,尽管意图是欺骗性的。批准钓鱼从高层次来看,批准钓鱼通过将你授予权限的时刻与资金被盗的时刻分开来工作。恶意网站可能会宣传空投、支持修复或铸造,然后提示你“批准”或“签名以继续”。没有明显的东西立即离开你的钱包,所以感觉是安全的。但你刚刚授予的批准可以像一个长期授权一样起作用:攻击者(或自动“抽水”合约)可以在以后调用转移功能,提取在该权限下的资产。这就是为什么受害者通常在几小时或几天后才注意到损失,并且难以将盗窃与之前的点击联系起来。代币批准钓鱼代币批准钓鱼专门针对ERC-20风格的权限。许多代币要求你在它可以代表你消费之前,授予一个智能合约一个额度(例如,在DEX上交换时)。诈骗者模仿这种熟悉的流程,欺骗你批准他们的合约,而不是合法的合约。危险的版本是“无限”额度,花费者现在和将来可以转移你整个余额的一部分。一些活动还使用基于签名的批准,例如permit2,你签署一条消息,攻击者可以在链上提交以激活消费权。由于钱包提示可能没有清楚地解释花费者或金额,代币批准钓鱼即使在谨慎用户中也常常成功。额度钓鱼额度钓鱼本质上是从被滥用的角度描述的相同攻击:额度(定义花费者可以转移多少的数字限制)。诈骗者的目标是获得一个(1)足够大以值得偷窃的额度和(2)足够广泛以在你收到更多资金后继续有效的额度。在实践中,攻击者监控你的钱包,并在你的余额增加时触发转移,使盗窃感觉“神秘”。这也与签名钓鱼重叠,技巧是获得一个授权消费或设置操作员的签名,即使你从未发送传统的“批准”交易。如果你怀疑自己授予了不良额度,关键的缓解措施是撤销对可疑花费者的批准,以便未来的转移失败。为什么批准钓鱼很重要批准钓鱼很重要,因为它将一个单一的混淆时刻转变为对你资产的持续、可编程访问——而不需要妥协你的私钥。这使得攻击者可以扩展,而受害者很难争辩:如果权限存在,区块链将视转移为已授权。它还破坏了用户对日常DeFi行为(如交换和铸造)的信任,因为合法应用程序使用相同的批准机制。最好的防御是理解“批准”不是一个无害的步骤,定期审查权限,并删除任何你不认识的东西——这些习惯是加密钱包诈骗的核心,以及如何避免它们。
常见问题
审批钓鱼与常规钓鱼有什么不同?
常规钓鱼通常试图窃取密码或种子短语等秘密。审批钓鱼则诱使你在链上授权一个权限,从而攻击者可以使用有效的授权而不是被盗的凭证来移动资产。
审批钓鱼可以在没有我的种子短语的情况下耗尽我的钱包吗?
可以。如果你授予了恶意合约花费代币或管理NFT的权限,它可以在不需要你的种子短语的情况下转移这些资产,只要授权保持有效。
什么是无限代币授权,为什么它有风险?
无限授权将额度设置为一个非常大的数字,以便合约可以重复花费而无需新的授权。如果花费者是恶意的或后来被攻破,它可以耗尽你的代币,直到你的全部余额。
我怎么知道是否应该撤销授权?
撤销你不认识、不再需要或授予可疑网站、空投或“支持”链接的授权。如果你与一个可疑的dApp互动,快速撤销可以减少延迟耗尽的机会。
Permit2使审批钓鱼变得更好还是更糟?
Permit2可以通过启用基于签名的权限来改善用户体验,但它也创造了攻击者可以利用的另一个同意表面。风险取决于你签署的内容以及谁可以在链上提交该签名的权限。
相关术语
ERC-20
ERC-20 is the standard set of rules that makes Ethereum-based tokens work consistently across wallets, exchanges, and smart contracts.
Wallet Drainer
A wallet drainer is a crypto scam tool that tricks you into approving or signing transactions that let attackers transfer assets out of your wallet.