ScamSniffer釣魚報告:半年損失逾3億、一人遭盜千萬鎂成史上第二大受災戶
資安公司 ScamSniffer 的年中安全報告指出,2024 年上半年的釣魚受害者與金額共分別是 26.6 萬名、以及 3.14 億美元,與去年整年的 2.95 億美元相比,今年僅花了半年便達到了該數字。
史上被盜金額第二大地址出爐
ScamSniffer 首先點出,在這 26 萬名受害者中,有其中 20 名每人損失超過 100 萬美元,他們共損失了 5,800 萬美元:
其中被盜金資金最高的一名受害者損失了 1,100 萬美元,他目前成為了史上被盜金額第二大的用戶。
廣告 - 內文未完請往下捲動
主因:Permit、IncreaseAllowance
而對於丟失資金的主要原因,ScamSniffer 分析了遭盜規模前 20 大的受害者,指出大部分被盜的代幣都是由於誤簽了釣魚簽名:
包括 Permit、IncreaseAllowance 及 Uniswap Permit2 等
此前,鏈新聞也曾就該釣魚風險報導,提醒用戶需小心防範。
(使用過 Uniswap 就有資安風險?鏈下簽名將如何導致資產遭竊取)
對此,在電腦上安裝 ScamSniffer 網頁擴充工具,對於辨識釣魚內容及可疑網站來說,已經可以說是相當實用。
質押、再質押資產也會被盜!
該公司也提醒,許多大規模的釣魚行動也曾盜走包括質押、再質押、Aave Collateral (Aave 質押收益)、以及 Pendle 協議中的代幣 (LSD 資產、PT/YT 代幣):
請注意,這些代幣也支援 Permit,一旦被盜,您的質押資產將無法追回。
掉入假帳號陷阱惹禍
而對於受害者是如何陷入釣魚騙局,ScamSniffer 也統計了受害者的回饋,發現大多數受害者是遭到假冒的 Twitter 帳號所發布的釣魚留言,一時間沒看清楚,被引導到仿真度極高的釣魚網站騙取資金。
其中,鏈新聞呼籲用戶在每次點擊相關連結前,仍須就帳號名的粉絲數、共同粉絲、帳號名稱 (尤其是 i 與 l 的分別、以及字母兩兩對調) 等仔細查看,以免痛失資產。
(一按錢全不見!「離線授權簽名」有何釣魚手法與防範方式?假 EigenLayer 案例)
自願幫你追資產的人都可能是 Scam
面對資金已被盜取的用戶,ScamSniffer 也強調能夠透過資安公司慢霧 (MisTrack) 來協助追回資金。
然而,該公司也提醒,任何主動聲稱能夠 100% 追回被盜資產的其他人,都可能是另一個騙局。
釣魚猖獗,用戶仍須自保
今年,適逢 Avail、EigenLayer、ZKsync 以及 BLAST 等大型專案空投,同時 Telegram 也透過各種賺錢小遊戲吸引用戶參與其自家的 Ton 生態。
