【安全资讯】新型Web3攻击利用交易模拟窃取加密货币

概要：

近期，网络安全领域出现了一种新型Web3攻击，攻击者利用交易模拟欺骗用户，从而窃取加密货币。此攻击方式成功窃取了143.45个以太坊，价值约46万美元，揭示了现代Web3钱包中交易模拟机制的漏洞，给用户的资产安全带来了严重威胁。

主要内容：

这种攻击被称为“交易模拟欺骗”，其工作原理是通过伪装成合法平台的恶意网站，诱导用户进行看似正常的交易。交易模拟功能本旨在让用户在签署和执行区块链交易前预览其结果，以增强安全性和透明度。然而，攻击者利用了模拟与实际执行之间的时间延迟，改变了链上合约的状态，导致用户在签署交易后，钱包中的所有加密资产被转移至攻击者的账户。

例如，ScamSniffer报告了一起实际案例，受害者在状态变化后30秒签署了欺骗性交易，结果损失了全部资产（143.35 ETH）。这一新型攻击方式标志着网络钓鱼技术的重大演变，攻击者不再仅仅依赖简单的欺骗，而是利用用户信任的安全功能进行攻击。

为了应对这一威胁，区块链监测平台建议Web3钱包降低模拟刷新频率，以匹配区块链的区块时间，并在关键操作前强制刷新模拟结果，同时增加过期警告，以提醒用户潜在风险。加密货币持有者应对不明网站上的“免费索赔”提供保持警惕，仅信任经过验证的去中心化应用程序（dApps）。