$3.047M USDC 在假请求金融合约攻击安全中被抽走

最近的一次网络钓鱼攻击导致损失了304.7万美元USDC。该漏洞针对的是一个Safe多重签名钱包，同时使用了一个假冒的Request Finance合约。调查人员表示，攻击者仔细策划了该方案。他们以看似授权的方式执行了这一攻击。受害者使用的是一个2-of-4 Safe多重签名钱包。根据Scam Sniffer的说法，交易似乎是通过Request Finance应用界面处理的。但在批量请求中隐藏着对恶意合约的批准。

假合同地址几乎与合法地址相同。中间字符仅有微小差异。两个地址都以相同字符开头和结尾。这使得一眼难以察觉。为了增加可信度，攻击者甚至在Etherscan上验证了恶意合同。这一步骤使得任何随意查看的人都觉得它是正宗的。一旦获得批准，攻击者立即转走了304.7万美元USDC。被盗资金随后被兑换为ETH。然后，它迅速转入Tornado Cash，难以追踪。

一个精心规划的时间表

攻击的时间线显示出明显的准备。在盗窃发生前的十三天，攻击者部署了假冒的Request Finance合约。与此同时，他们进行了多次“batchPayments”交易，以使合约看起来活跃且可信。当受害者与之互动时，合约似乎有正常的使用历史。当受害者使用Request Finance应用时，攻击者将隐藏的批准悄悄加入了批量交易。一旦交易被签署，漏洞便完成了。

Request Finance 的响应

Request Finance 认可了此次事件并发布了一份声明，警告用户。该公司确认，一名恶意行为者部署了其批量支付合同的仿冒版本。根据声明，只有一位客户受到影响。该漏洞已被修复。但用于注入恶意批准的确切方法仍不清楚。分析师认为，可能的攻击向量可能包括应用程序本身的漏洞。此外，恶意软件或浏览器扩展程序修改交易，甚至是被攻击的前端或 DNS 劫持。其他形式的代码注入也不能被排除。

安全问题突出

该案例显示了加密行业诈骗行为日益增长的趋势。攻击者不再依赖基本的网络钓鱼链接或明显的伎俩。相反，他们部署经过验证的合约，模仿真实服务，并在复杂交易中隐藏恶意行为。批量交易旨在简化支付，但也为攻击者创造了机会。因为它们将多个操作归为一组，使得用户更难逐一审核每个批准或转账。这种模糊性使得攻击者能够悄然插入欺诈操作，直到为时已晚时才被发现。

社区的教训

专家强调在使用多重发送时需要极其谨慎，甚至在使用批量支付功能时也是如此。每个合约批准都应该逐字审查，以避免与类似地址混淆。即使是一个被忽视的细节也可能导致重大损失，正如在这个案例中所看到的。安全公司还建议用户尽量减少使用浏览器扩展。他们还可以检查与钱包连接的未验证应用程序。

保持软件更新，使用硬件钱包进行授权，并通过可信来源交叉检查合约地址。这些可以降低此类 exploits 的风险。此次事件提醒我们加强平台用户保护。增强警告、自动标记类似合约和改善交易可见性可以帮助防止类似攻击。

一次代价高昂的提醒

304.7万美元的损失再次提醒我们去中心化金融中的高风险。虽然Safe和Request Finance仍然是流行的工具，但攻击者越来越多地利用它们的复杂性。对于用户而言，谨慎是唯一真正的防御。在这种情况下，攻击者依赖于微妙、准备和一个令人信服的假象。不幸的是，这足以欺骗甚至多重签名设置，获得访问权限。此事件表明，在加密领域，每一次点击和每一次批准都至关重要。