AI Agent 正在降低 Web3 的使用門檻,但也可能被攻擊者利用。過去難以大規模排查的老舊合約和歷史授權,如今更容易被自動化工具批量掃描和識別。
近期,某 DApp 專案就發生了一起與舊版合約相關的安全事件。其早期部署在 TRON 鏈上的舊合約雖已於 2022 年棄用,但近期駭客利用了其中的歷史漏洞,導致曾與該舊合約互動過的使用者遭受資產損失。
案例
幾年前,使用者小林使用某第三方 DApp 進行代幣兌換。為了方便交易,他授權了該 DApp 無限使用其 USDT。後來該 DApp 升級切換了新合約,小林便逐漸忘記了當初的授權記錄。
直到最近,小林發現錢包裡的 USDT 被全數轉走。經排查,他近期未訪問過可疑連結,問題恰恰出在那次多年前的授權——攻擊者利用了舊合約中的歷史漏洞,透過合約呼叫轉移了他的資產。
為什麼舊合約與歷史授權會成為風險?
1. 鏈上痕跡永久留存
智慧合約一旦部署,通常無法刪除,而使用者對應的代幣授權,在主動取消前也會持續生效。也就是說,「舊版 DApp / 合約或協議下線」不等於「鏈上風險清零」,相關舊合約依然可能保留對使用者資產的操作權限。
2. 「知名專案」帶來的安全錯覺
很多使用者會認為,只要當初互動的是知名 DApp,就不會存在風險。但安全是一個持續演進的過程。早期合約可能存在當時未被發現的技術限制或漏洞。即便專案方後來升級了新版合約,廢棄的舊合約仍可能成為鏈上的隱性風險。
3. 自動化攻擊成本降低
過去,低活躍度的老舊合約因為人工排查成本較高,往往不容易被關注。隨著 AI 自動化合約掃描和漏洞驗證等工具的發展,攻擊者可以更低成本地篩查老舊合約、低維護專案。
這意味著,過去一些長期沉睡的小漏洞,也可能被重新發現並利用。只要歷史授權仍未取消,相關資產就仍可能暴露在潛在風險中。
imToken 安全團隊提醒
1. 定期檢查並清理歷史授權
建議養成定期排查錢包授權記錄的習慣。若發現以下情況,請及時撤銷:
- 高危對象:授權給不知名合約 / 個人地址,或仿冒知名 DApp 的合約(可在區塊瀏覽器查看,如部署時間較短、呼叫次數較少,即可視為高危合約)。
- 過度授權:額度為「無限」或明顯超出實際交易需求。
- 早期授權:授權時間較早,且目前已不再使用的 DApp。
如何查詢與撤銷授權:
- TRON 錢包:打開 imToken 首頁 -> 功能欄左滑 -> 點擊「授權管理」即可查看並撤銷。
- EVM 及 Layer2 錢包:在 imToken「瀏覽」頁搜尋 Revoke.cash,連接錢包後進行檢查與撤銷。
- 操作指南:請參考安全提醒|請警惕代幣授權騙局
2. 培養「按需授權」的使用習慣
- 拒絕預設:未來使用 DApp 時,盡量避免「無限授權」,手動修改為本次交易的實際所需額度。
- 用完即撤:對於低頻、嘗試性體驗的專案,建議使用專用地址互動,完成後隨手取消授權。
- 定期清理:養成閒時盤點錢包的習慣。長期不用的地址建議徹底清空授權;常用的地址則應定期清理,撤銷可疑或不常用的授權。
3. 關注官方公告,警惕二次詐騙
安全事件發生後,常有詐騙者冒充客服或安全團隊,聲稱可提供「資產追回」「賠付登記」服務。請牢記:
- 任何索要私鑰、助記詞的行為均為詐騙!
- 任何提供第三方連結,要求驗證錢包地址 / 資金所有權,實則誘騙簽名大額 / 無限額代幣使用權限的行為,均為詐騙。
- 任何手把手教下載錢包 App,並以建立 / 匯入錢包為由接收所謂賠付款項的行為,均為詐騙。
- 所有賠付相關資訊,請務必以專案方官方渠道發布為準,切勿輕信陌生人私訊。
imToken 一直在行動
安全風控
三月份,imToken 共標記風險代幣 12227 個;封禁風險 DApp 網站 552 個;標記風險地址 349 個。詳見風控數據。
另外,如果你發現了疑似風險的代幣或 DApp,請及時回饋給我們:support@token.im,幫助更多用戶避免資產損失。
最後
詐騙手法層出不窮,對一般用戶來說,確實難以全面預防。imToken 致力於快速發現和找到解決方案,並向社群及時回饋和科普各種新型騙局,以降低用戶損失,全面提升用戶在加密貨幣領域的安全性,並努力建立一個可信賴的數位代幣管理生態系統。
我們誠摯邀請你閱讀並分享「imToken 錢包安全月報」,和 imToken 攜手,保護每一份代幣安全。