
【ND 報告】僅需一次點擊即蒸發 100 萬美元,2026 年虛擬資產網絡釣魚的威脅
2026 年 7 月 9 日,一名虛擬資產交易員因惡意代幣授權簽名而被盜取價值 100 萬美元的資產。在 AI 驅動攻擊和多渠道網絡釣魚激增的情況下,授權網絡釣魚僅在今年就造成了約 10 億美元的損失,成為嚴重的安全威脅。
2026 年 7 月 9 日,加密資產市場見證了僅僅一次錯誤簽名所導致的致命後果。一名交易員在簽署惡意代幣授權後,隨即發生了價值 100 萬美元資產被盜的事件。此次事件再次凸顯了鏈上詐騙者所使用的「授權網絡釣魚」技術的危險性。
截至 2026 年,這種攻擊方式已成為針對高淨值人士最有效的手段。鏈上詐騙者僅在去年就獲利超過 140 億美元,而授權網絡釣魚正是其中的核心。專家警告,攻擊者正進一步精細化其社交工程技術,利用用戶的心理弱點而非技術漏洞。
授權網絡釣魚的核心是誘導用戶授予攻擊者控制其錢包中代幣的權限。這主要透過誘導調用「increaseAllowance」函數,或濫用僅憑簽名即可轉移權限的「Permit」功能來實現。當用戶在未充分理解交易內容的情況下按下授權按鈕時,攻擊者便獲得了從該錢包無限提取資產的權限。
鏈上詐騙者去年獲利超過 140 億美元,授權網絡釣魚仍然是他們針對高價值資產的主要攻擊路徑。
攻擊者透過精心偽裝的網站誘導用戶連接錢包。受害者誤以為正在使用正常的去中心化金融 (DeFi) 服務,但實際上卻執行了用於竊取資產的惡意腳本。這種手法被設計成在錢包界面上難以察覺風險,即使是經驗豐富的交易員也容易上當。
2026 年網絡釣魚環境的變化與 AI 的威脅
根據 2026 年上半年的統計數據,基於 AI 的網絡釣魚攻擊較去年同期激增 1,380%,威脅著安全生態系統。AI 生成的網絡釣魚郵件成功率高達 82.6%,遠高於人類專家編寫的郵件。此外,利用 QR 碼的網絡釣魚增加了 400%,語音釣魚(Voice Phishing)增加了 442%,多渠道攻擊已成為主流。
- 應立即在乾淨的裝置上更改帳戶密碼,並採用更強大的認證手段。
- 應移除所有安裝在瀏覽器上的陌生擴充功能或應用程式。
- 應使用鏈上安全工具,立即撤銷授予不可信合約的代幣授權(Token Approval)。
- 應徹底檢查電子郵件轉寄規則或帳戶恢復設定中是否存在未經授權的變更。
這些攻擊背後存在著少數技術高超的攻擊者,並獲取了巨額利潤。根據分析,最成功的單一網絡釣魚地址竊取了約 4,430 萬美元,佔授權釣魚(Approval Phishing)總損失額的約 4.4%。前 10 個攻擊地址佔據了總被盜資產的很大一部分,這一事實充分說明了此類犯罪的組織性。
據估計,截至目前,因授權釣魚造成的累計損失已接近 10 億美元。這表明儘管虛擬資產安全基礎設施有所發展,但個人用戶的安全意識仍然是最薄弱的環節。攻擊者正進一步完善社會工程學技巧,利用用戶的心理漏洞而非技術漏洞。
技術演進與未來展望
特別是裝置代碼釣魚(Device Code Phishing)的擴散正使現有的多重身份驗證(MFA)體系失效,令人擔憂。隨著犯罪平台的技術門檻降低,初級犯罪者也能發動精密的攻擊。預計 2026 年下半年這一趨勢仍將持續,投資者需格外警惕。
投資者不應僅依賴簡單的認證程序,而應養成仔細確認所簽署的每項交易內容的習慣。此外,定期檢查錢包的授權狀態並立即撤銷不必要的權限,是保護資產的最佳方法。必須謹記,隨著虛擬資產市場的增長,安全威脅也在不斷演進。


本內容僅供資訊與評論用途,並不構成投資建議。
加入這篇文章的討論
看看其他讀者的想法,也可以留下你的意見。