常见的资产被盗场景有哪些？

Web3 世界虽然带来了金融自由与创新机遇，但同时也伴随着各种新型安全威胁。本文揭露目前Web3 环境下用户资产被盗的常见场景，包括私钥泄漏、恶意签章授权以及转帐诈骗等多种攻击手段。透过对真实案例的分析为用户提供全面的防护知识，帮助投资者在区块链世界中、更安全地守护自己的数字资产。

常见的资产被盗场景

助记词或私钥被盗

虚假钱包窃取用户助记词和私钥

骇客通常透过在Telegram、Discord 等社群媒体平台上冒充官方团队成员或管理员发送虚假钱包下载连结，或透过钓鱼邮件模仿知名钱包品牌（如MetaMask、Trust Wallet）发送「安全更新」提醒，以及在搜寻引擎上投放广告，将用户引导至钓鱼网站等方式让用户下载虚假钱包。当受害用户下载并安装这些盗版钱包应用程式，并汇入助记词或私钥时，这些资讯会直接传送至攻击者控制的伺服器。

恶意App 窃取剪贴簿的助记词和私钥

恶意应用程式通常伪装成实用工具（如QR Code 扫描器、档案管理器）、热门游戏的破解版、加密货币价格追踪工具、空投监控工具等。这些应用程式一旦安装，就会要求取得读取剪贴簿等权限，然后持续监控用户装置的剪贴簿内容。当用户复制钱包私钥或助记词（例如在备份或转移过程中）时，恶意程式会立即捕获这些资讯并发送到攻击者的伺服器。

恶意的签名或授权

eth_sign 盲签名

eth_sign 是以太坊提供的一种基础签署方法，它允许用户对任意资料进行签署。这种方法的危险在于：用户看到的是一串无法理解的十六进位代码，无法判断实际在签署什么内容。骇客可以诱导用户签署恶意交易授权，甚至可以建构恶意签名内容授权提取所有资产。

Permit2 签名钓鱼

Permit2 是Uniswap 实验室开发的一种代币授权协议，虽然本身安全，但被骇客利用进行签名钓鱼。骇客诱导用户签署Permit2 授权，通常以「验证钱包」或「领取空投」为借口。一旦签署，骇客能在不需要额外确认的情况下操作用户代币。

恶意获取代币授权

一些恶意网站诱导用户对智能合约进行有价值代币的无限额授权，使其能够操作用户持有的该代币。常见的手法有创造看似合法的DeFi 项目或NFT 平台，要求用户授权才能参与。通常利用「紧急」或「限时」活动，制造FOMO 情绪，降低用户警觉性。一旦授权完成，骇客可以随时提领用户钱包中的代币，而无需进一步确认。

NFT 授权

有些恶意网站会骗取用户进行「setApprovalForAll」授权，用户如果不小心批准了setApprovalForAll 授权，那么攻击者就可以转走被授权的NFT 系列。

转帐诈骗

受窜改聊天软体中发送的钱包地址遭到替换

攻击者发布经过修改的Telegram 客户端，通常在非官方管道释出。修改版Telegram 含有恶意程式码，可即时监控并取代聊天中出现的加密钱包地址。当对象聊天用户复制贴上这些地址进行转帐时，资金实际发送至攻击者控制的钱包。 2023 年，超过500 名用户因使用窜改版Telegram，导致总计约800 万美元的加密资产被错误转帐。

0 金额转帐钓鱼

攻击者利用了USDT 的TransferFrom 函数的特点，当转帐金额为0，无需所有者允许，第三方即可发起转帐交易。攻击者利用这个函数的特点，不断地对链上活跃用户发起TransferFrom 操作，冒充用户曾经的历史记录，一部分用户习惯从历史转帐记录复制帐户地址，就可能将代币转帐到攻击者的地址中。根据SlowMist 统计，光是2022 年上半年，就有超过2,000 万美元透过0 转帐钓鱼方式被窃。