用户签署恶意交易致资产被盗

3月20日,GoPlus平台发布安全警报,指出一名用户在未充分验证的情况下签署了恶意 Permit 与 #Approve 交易指令,致使攻击者成功转移其持有的价值20万美元的USDC及wmtUSDT。该事件暴露了在去中心化应用中签名操作所伴随的潜在风险。

恶意交易如何被利用

Permit 与 #Approve 为区块链上常见的授权机制,用于允许第三方在指定额度内调用用户资产。若用户在未识别真实目的的前提下签署此类交易,可能被钓鱼网站诱导授权,从而导致资产被非法提取。此次事件中,攻击者通过伪造界面诱导用户确认授权,完成资金转移。

防范建议与安全提示

GoPlus提醒所有用户:在进行任何链上操作前,务必核对交易详情,避免点击来源不明的链接或签署未经验证的授权请求。建议启用硬件钱包、开启双重验证,并定期检查已授权的应用权限,以降低资产被盗风险。