资安公司 ScamSniffer 的年中安全报告指出,2024 年上半年的钓鱼受害者与金额共分别是 26.6 万名、以及 3.14 亿美元,与去年整年的 2.95 亿美元相比,今年仅花了半年便达到了该数字。
史上被盗金额第二大地址出炉
ScamSniffer 首先点出,在这 26 万名受害者中,有其中 20 名每人损失超过 100 万美元,他们共损失了 5,800 万美元:
其中被盗金资金最高的一名受害者损失了 1,100 万美元,他目前成为了史上被盗金额第二大的用户。
而对于丢失资金的主要原因,ScamSniffer 分析了遭盗规模前 20 大的受害者,指出大部分被盗的代币都是由于误签了钓鱼签名:
包括 Permit、IncreaseAllowance 及 Uniswap Permit2 等
此前,链新闻也曾就该钓鱼风险报导,提醒用户需小心防范。
(使用过 Uniswap 就有资安风险?链下签名将如何导致资产遭窃取)
对此,在电脑上安装 ScamSniffer 网页扩充工具,对于辨识钓鱼内容及可疑网站来说,已经可以说是相当实用。
质押、再质押资产也会被盗!
该公司也提醒,许多大规模的钓鱼行动也曾盗走包括质押、再质押、Aave Collateral (Aave 质押收益)、以及 Pendle 协议中的代币 (LSD 资产、PT/YT 代币):
请注意,这些代币也支援 Permit,一旦被盗,您的质押资产将无法追回。
掉入假帐号陷阱惹祸
而对于受害者是如何陷入钓鱼骗局,ScamSniffer 也统计了受害者的回馈,发现大多数受害者是遭到假冒的 Twitter 帐号所发布的钓鱼留言,一时间没看清楚,被引导到仿真度极高的钓鱼网站骗取资金。
其中,链新闻呼吁用户在每次点击相关连结前,仍须就帐号名的粉丝数、共同粉丝、帐号名称 (尤其是 i 与 l 的分别、以及字母两两对调) 等仔细查看,以免痛失资产。
(一按钱全不见!「离线授权签名」有何钓鱼手法与防范方式?假 EigenLayer 案例)
自愿帮你追资产的人都可能是 Scam
面对资金已被盗取的用户,ScamSniffer 也强调能够透过资安公司慢雾 (MisTrack) 来协助追回资金。
然而,该公司也提醒,任何主动声称能够 100% 追回被盗资产的其他人,都可能是另一个骗局。
钓鱼猖獗,用户仍须自保
今年,适逢 Avail、EigenLayer、ZKsync 以及 BLAST 等大型专案空投,同时 Telegram 也透过各种赚钱小游戏吸引用户参与其自家的 Ton 生态。
从空投钓鱼邮件到专案官方帐户遭骇,在今年上半年可谓是层出不穷,用户对此仍须多加留意不明连结。
(资安警示:Telegram 钓鱼陷阱多,帐号也可能直接不见)