ScamSniffer钓鱼报告：半年损失逾3亿、一人遭盗千万镁成史上第二大受灾户

资安公司 ScamSniffer 的年中安全报告指出，2024 年上半年的钓鱼受害者与金额共分别是 26.6 万名、以及 3.14 亿美元，与去年整年的 2.95 亿美元相比，今年仅花了半年便达到了该数字。

史上被盗金额第二大地址出炉

ScamSniffer 首先点出，在这 26 万名受害者中，有其中 20 名每人损失超过 100 万美元，他们共损失了 5,800 万美元：

其中被盗金资金最高的一名受害者损失了 1,100 万美元，他目前成为了史上被盗金额第二大的用户。

主因：Permit、IncreaseAllowance

而对于丢失资金的主要原因，ScamSniffer 分析了遭盗规模前 20 大的受害者，指出大部分被盗的代币都是由于误签了钓鱼签名：

包括 Permit、IncreaseAllowance 及 Uniswap Permit2 等

此前，链新闻也曾就该钓鱼风险报导，提醒用户需小心防范。

(使用过 Uniswap 就有资安风险？链下签名将如何导致资产遭窃取)

对此，在电脑上安装 ScamSniffer 网页扩充工具，对于辨识钓鱼内容及可疑网站来说，已经可以说是相当实用。

质押、再质押资产也会被盗！

该公司也提醒，许多大规模的钓鱼行动也曾盗走包括质押、再质押、Aave Collateral (Aave 质押收益)、以及 Pendle 协议中的代币 (LSD 资产、PT/YT 代币)：

请注意，这些代币也支援 Permit，一旦被盗，您的质押资产将无法追回。

掉入假帐号陷阱惹祸

而对于受害者是如何陷入钓鱼骗局，ScamSniffer 也统计了受害者的回馈，发现大多数受害者是遭到假冒的 Twitter 帐号所发布的钓鱼留言，一时间没看清楚，被引导到仿真度极高的钓鱼网站骗取资金。

其中，链新闻呼吁用户在每次点击相关连结前，仍须就帐号名的粉丝数、共同粉丝、帐号名称 (尤其是 i 与 l 的分别、以及字母两两对调) 等仔细查看，以免痛失资产。

(一按钱全不见！「离线授权签名」有何钓鱼手法与防范方式？假 EigenLayer 案例)

自愿帮你追资产的人都可能是 Scam

面对资金已被盗取的用户，ScamSniffer 也强调能够透过资安公司慢雾 (MisTrack) 来协助追回资金。

然而，该公司也提醒，任何主动声称能够 100% 追回被盗资产的其他人，都可能是另一个骗局。

钓鱼猖獗，用户仍须自保

今年，适逢 Avail、EigenLayer、ZKsync 以及 BLAST 等大型专案空投，同时 Telegram 也透过各种赚钱小游戏吸引用户参与其自家的 Ton 生态。

从空投钓鱼邮件到专案官方帐户遭骇，在今年上半年可谓是层出不穷，用户对此仍须多加留意不明连结。

(资安警示：Telegram 钓鱼陷阱多，帐号也可能直接不见)

这篇文章 ScamSniffer钓鱼报告：半年损失逾3亿、一人遭盗千万镁成史上第二大受灾户 最早出现于 链新闻 ABMedia。