比推消息,交易平台负责人 Ben Zhou 近日在社交平台 X 上发文,披露一起针对 ETH 冷钱包的安全事件。据称,约一小时前,平台的 ETH 多重签名冷钱包向热钱包发起一笔异常转账。经查证,该笔交易为伪造,攻击者通过伪造用户界面(UI)误导签名者,最终导致该冷钱包中的资产被转移至不明地址。
事件经过:伪造 UI 诱导智能合约逻辑更改
根据 Ben Zhou 的描述,此次事件的关键在于攻击者伪造了签名操作界面。所有签名者在操作时看到的界面显示为正确地址,且 URL 来源显示为知名安全服务 @safe,因此未能及时识别异常。
实际签名内容为更改 ETH 冷钱包的智能合约逻辑,这一操作导致攻击者最终控制了该特定冷钱包,并将其中的全部 ETH 转移至外部地址。
官方回应:其他冷钱包未受影响,业务正常运行
Ben Zhou 在声明中强调,除该特定 ETH 冷钱包外,所有其他冷钱包均未受到影响,目前平台提款等业务一切正常。用户资产安全仍是首要任务,团队已启动全面安全审查,并加强对多重签名流程的监控。
此类事件再次凸显了加密货币存储中智能合约安全与操作流程合规的重要性。尤其是多重签名机制,虽被广泛认为安全性较高,仍可能因界面伪造、网络钓鱼等技术与社会工程学手段而遭到破坏。
如何防范类似攻击?
对于普通用户乃至机构而言,此类攻击的防范需多管齐下:
- 谨慎验证签名内容:在执行任何签名操作前,务必核实交易详情,包括接收地址、转账金额和智能合约调用方法;
- 使用硬件钱包:硬件钱包能有效隔离私钥与联网环境,降低私钥泄露风险;
- 多重审查机制:建立多人、多设备复核流程,避免单点失误导致全面崩盘;
- 保持系统更新:及时更新钱包软件与操作系统,修补已知安全漏洞。
值得一提的是,用户也可借助专业平台提供的风控工具监控大额异动,👉实时掌握资产动态。
常见问题
Q1: 这次事件中具体有多少 ETH 被转移?
目前官方未公开具体损失金额,仅说明是某一特定冷钱包内的全部 ETH 资产。通常冷钱包存储量较大,建议用户关注后续官方公告。
Q2: 普通用户需要担心自己的资产吗?
不必过度恐慌。此次事件针对的是平台方冷钱包,且仅单个钱包受影响。用户资产如存放在自身钱包中,只要私钥未泄露,便是安全的。
Q3: 多重签名机制还安全吗?
仍然是安全的,但需配合严格的操作规范。本次事件问题出在“伪造UI”误导操作者,而非多重签名机制本身被破解。建议团队加强内部培训与技术审核。
Q4: 如果发现类似可疑交易该怎么办?
立即终止操作,并通过官方渠道核实交易信息。同时启用交易提醒功能,以便及时察觉异常。
声明:本文仅提供事件报道与技术分析,不构成任何投资建议。加密货币投资有风险,请谨慎决策。