DeFi用户因授权漏洞遭盗取20万美元资产
3月20日,去中心化服务平台GoPlus发布安全警示,披露一起由用户签署恶意Permit授权所引发的重大资金损失事件。该用户在未充分识别风险的情况下,对一个伪装成合法合约的#Approve交易进行了签名,致使攻击者获取其资产控制权。
恶意授权链路暴露智能合约信任盲区
调查发现,攻击者通过伪造与主流代币兼容的授权请求界面,诱导用户在非官方渠道完成签名操作。一旦授权被确认,攻击者即可绕过常规安全机制,直接提取账户中的USDC及wmtUSDT,总价值逾20万美元。
平台呼吁强化授权行为的审查机制
GoPlus强调,此类事件反映出当前DeFi生态中用户对授权权限认知不足的问题。平台建议所有持有可编程资产的用户,必须严格验证授权来源,并启用多重确认机制,防止类似安全事故再次发生。