数百个 EVM 钱包遭小额盗刷：ZachXBT 揭露新型攻击手法

近日，知名链上侦探 ZachXBT 披露了一起涉及数百个 EVM（以太坊虚拟机）兼容钱包的异常事件：大量用户的钱包在未察觉的情况下被转走极小金额的加密资产。虽然单笔损失看似微不足道，但攻击者通过自动化脚本批量操作，累计获利可观。这一现象引发了社区对钱包安全机制和用户行为习惯的重新审视。

事件背景与 ZachXBT 的发现

ZachXBT 通过链上数据分析发现，自 2024 年初以来，多个 EVM 链（包括以太坊、BNB Chain、Polygon 等）上出现了大量结构高度相似的交易：攻击者向目标地址发送极低 Gas 费的交易，触发钱包内残留代币的自动转移。这些交易往往只提取几美分到几美元不等的资产，但由于目标数量庞大，总收益不容小觑。

“这不是传统意义上的私钥泄露，而是一种利用用户疏忽与协议漏洞结合的‘蚊子腿’式攻击。”——ZachXBT

攻击原理深度解析

“空投钓鱼”与签名陷阱

许多受害者此前曾与某些 DApp 交互，签署了看似无害但权限过宽的授权（如 approve 或 permit）。攻击者利用这些长期有效的授权，在用户不知情的情况下调用 transferFrom 函数提取代币。

Gas 费优化掩盖异常

攻击者刻意使用极低 Gas Price 发送交易，使其在网络拥堵时被延迟处理，从而避开用户的实时监控。由于金额极小，不少用户甚至未收到钱包通知，或误以为是系统误差。

• 攻击多发生在用户长期未使用的“冷钱包”中
• 被盗资产多为低流动性小币种，难以追踪
• 部分攻击地址复用已知的僵尸网络合约

如何防范此类攻击？

专家建议用户采取多层次防御策略，而非仅依赖单一工具：

定期审查授权权限

使用如 Revoke.cash、Etherscan Token Approvals 等工具，定期检查并撤销不再需要的代币授权。即使是小额授权，也可能成为攻击入口。

启用交易预览与警报

选择支持交易详情预览的钱包（如 MetaMask、Rabby），并开启大额/异常交易提醒。即使金额小，频繁异常交易也应引起警惕。

避免随意签署未知数据

切勿在未理解内容的情况下点击“Sign”按钮。某些钓鱼网站会诱导用户签署包含恶意 payload 的数据，表面看是登录，实则授予权限。

风险行为	安全替代方案
点击不明空投链接并签名	仅通过官方渠道参与可信项目
长期保留高额度代币授权	每次交互后手动撤销授权
使用单一钱包管理所有资产	区分热钱包与冷钱包用途

行业应对与未来展望

此次事件促使多个钱包团队加速开发“智能授权管理”功能。例如，MetaMask 已测试基于 AI 的异常签名预警系统；Rabby 钱包则引入了“权限沙盒”机制，限制 DApp 可访问的资产范围。

长远来看，EIP-712 结构化数据签名标准的普及有望减少模糊签名风险，而账户抽象（Account Abstraction）技术则可能从根本上改变用户与钱包的交互模式，将安全逻辑内置于账户本身。

常见问题解答

我的钱包余额没变，是否就安全了？

不一定。攻击可能针对你持有但未显示在主界面的小众 ERC-20 代币。建议使用 Blockchair 或 Etherscan 查看完整代币列表及历史交易。

撤销授权需要付费吗？

是的，撤销（set approval to zero）是一次链上交易，需支付 Gas 费。但在主流 L2 网络（如 Arbitrum、Optimism）上费用通常低于 0.1 美元。

硬件钱包能防止这类攻击吗？

不能完全免疫。若你在硬件钱包连接的界面中签署了恶意授权，攻击仍可发生。硬件钱包主要防私钥泄露，不防逻辑层授权滥用。

被盗的小额资产还能追回吗？

几乎不可能。因金额小、地址分散，且攻击者常通过混币器或跨链桥转移资金。预防远比事后补救有效。

哪些工具可以自动监控异常授权？

除 Revoke.cash 外，DeBank、Zerion 等资产管理平台提供“安全中心”功能；DefiSafety 的 Wallet Guard 也能推送高风险授权警报。