数百个 EVM 钱包遭小额盗刷：安全研究员 ZachXBT 揭露新型攻击手法

近日，知名链上安全研究员 ZachXBT 报告了一起大规模的异常交易事件：数百个基于 EVM（以太坊虚拟机）的钱包在短时间内被“小额清空”。这些钱包通常仅存有少量代币或 NFT，但攻击者仍系统性地提取了其中资产。尽管单笔损失看似微不足道，但其背后暴露出的系统性漏洞和自动化攻击模式，引发了加密社区对钱包安全机制的重新审视。

事件概览与攻击特征

ZachXBT 通过链上数据分析发现，自 2024 年初以来，已有超过 600 个 EVM 兼容钱包（包括以太坊、Polygon、Arbitrum 等网络）遭遇类似攻击。这些钱包并非高净值地址，多数余额低于 0.1 ETH，甚至仅持有测试网代币或低价值 NFT。然而，攻击者使用高度自动化的脚本，在极短时间内完成授权、转移和清算操作。

“这不是随机钓鱼，而是一场有组织、可扩展的‘数字扫荡’。”——ZachXBT

攻击流程解析

初始入口：受害者曾与恶意 DApp 交互，或点击过伪造的签名请求（如“Claim Reward”弹窗）。
权限窃取：诱导用户签署无限授权（approve）交易，允许攻击者控制特定代币或 NFT 的使用权。
延迟执行：攻击者并不立即转走资产，而是等待数周甚至数月，降低被察觉概率。
批量收割：一旦确认钱包仍有余额，便通过机器人批量发起 transferFrom 操作。

为何小额钱包也成为目标？

传统观点认为，黑客只盯大额钱包。但 ZachXBT 指出，本次攻击揭示了“长尾经济”在链上犯罪中的可行性：

成本极低：一次成功的钓鱼签名可永久授权，后续转移几乎零 Gas 成本（尤其在 Layer 2）。
隐蔽性强：小额转账不易触发警报，用户可能数月后才发现资产消失。
聚合收益可观：若控制 1000 个钱包，每个平均盗取 $5，总收益即达 $5000，且风险分散。

哪些用户最易受害？

根据 ZachXBT 的追踪，以下行为显著增加风险：

频繁参与空投申领或测试网交互
使用未经审计的第三方钱包插件
忽略钱包内“待处理授权”提醒
重复使用同一私钥管理多链资产

如何防范与应对

专家建议采取“主动防御 + 定期清理”策略：

日常防护措施

安装如 Revoke.cash 或 Etherscan Token Approvals 工具，定期检查并撤销无用授权。
拒绝签署来源不明的“data”字段含大量十六进制代码的交易。
为常用钱包设置独立子账户，主账户仅用于存储核心资产。

若已遭攻击怎么办？

虽然资金难以追回，但可采取以下步骤止损：

立即断开所有 DApp 连接（通过 MetaMask 设置 > Connected sites）。
将剩余资产转移到全新钱包地址。
在 Revoke.cash 上撤销所有历史授权。
向 ZachXBT 团队提交地址（通过其官网表单），协助追踪攻击者集群。

工具名称	主要功能	适用网络
Revoke.cash	一键撤销代币/NFT 授权	多链支持（EVM 系）
Etherscan Token Approvals	可视化查看已授权项目	以太坊为主
Blockaid	实时交易风险扫描	浏览器插件，多链

常见问题解答

我的钱包只有几美元，也会被盯上吗？

会。攻击者使用自动化脚本“广撒网”，只要存在可提取资产（哪怕仅值 $0.1），就可能成为目标。关键不在于金额大小，而在于是否曾签署过恶意授权。

撤销授权后，资产还会被盗吗？

不会。一旦成功撤销（revoke）对某合约的代币授权，该合约将无法再动用你的资产。但需注意：NFT 授权需单独撤销，且部分旧版 DApp 使用不同标准（如 setApprovalForAll）。

如何判断一笔签名请求是否危险？

警惕以下特征：① 弹窗要求签署“未知函数”；② data 字段显示“setApprovalForAll true”；③ 来源网站域名拼写异常（如 opensea.ioo.com）。不确定时，直接关闭页面最安全。

使用硬件钱包能完全避免此类攻击吗？

不能。硬件钱包虽保护私钥不外泄，但若用户在设备上确认了恶意交易（如无限授权），攻击仍会发生。安全关键在于“理解你签署的内容”，而非仅依赖硬件。

ZachXBT 是如何发现这些攻击的？

他通过监控多个 EVM 链上的异常 transferFrom 交易模式，识别出由同一组合约地址发起的批量操作，并反向关联到早期钓鱼签名事件。其分析依赖公开区块链数据，无需访问用户私钥。