自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

你刚搜了"超流动"吗?小心钱包被掏空

2025-06-26 23:45:14
收藏

谷歌惊现仿冒Hyperliquid的恶意广告,DeFi用户资产面临窃取风险

一款假冒Hyperliquid的恶意广告出现在谷歌搜索中,诱骗DeFi用户连接钱包并签署资产转移协议。这类攻击通过高度仿冒的域名和恶意智能合约授权实现,无需获取用户助记词。安全机构Scam Sniffer确认该攻击正在活跃进行,已有真实用户资金遭受损失。

更大隐患:钱包窃取诈骗已成主流犯罪

这起事件反映了"杀猪盘"骗局的升级趋势——诈骗者通过伪造仪表盘或投资界面诱导用户授权,继而掏空其钱包资产。据Scam Sniffer数据,2024年钱包窃取器已从30万个钱包盗取4.94亿美元,同比增长67%。

精密伪装:克隆域名与品牌仿冒

诈骗者精准克隆Web3项目官方域名,复刻品牌视觉元素,甚至模仿网站布局和交互流程。在Hyperliquid案例中,伪造界面足以诱使用户授予"批准"权限,该操作将秘密执行清空资产的智能合约。

这种攻击模式已成为DeFi领域主要威胁,其危害已超越协议漏洞攻击。Scam Sniffer报告显示,2024年已发生30起钱包窃取诈骗,最大单笔盗取金额达5540万美元。以太坊是主要受害链,损失金额占比达89%。

新型威胁:无需助记词的签名劫持

与传统钓鱼攻击不同,这类自动窃取器仅需诱导用户签署恶意合约。受害者连接钱包后,诈骗者常以"收藏品管理"等隐蔽权限获取资产控制权。一旦签名完成,巨额资产可能在数秒内被转移。

Check Point Research近期揭露的谷歌Play商店虚假WalletConnect应用,正是采用相同手法,该恶意软件潜伏五个月盗取7万美元加密资产。Scam Sniffer还发现Solscan(4月26日)和Aave(6月20日)的类似仿冒广告曾占据谷歌搜索结果首位。

钱包窃取危害已超越协议攻击

2024年钱包窃取造成的4.94亿美元损失,已接近DeFi协议攻击和跨链桥漏洞的总损失。与高调的黑客攻击不同,这种犯罪通过海量小额攻击实现规模效应,标志着风险根源从代码漏洞转向了用户体验漏洞。

用户与平台应对策略

加密货币用户必须仔细核对URL真实性,避免通过广告链接直接连接钱包,并定期检查代币授权状态。Web3基础设施提供商应加强UX防护,例如增加交易确认警告和授权提醒。

监测分析解决方案亟待升级。正如Scam Sniffer和Chainalysis证实,钱包窃取(杀猪盘)攻击已成为2024年个人钱包资产损失的首要原因。

展开阅读全文
更多新闻