在Web3世界里,钱包签名本是用户对交易指令的权威认证,却正成为黑客盗取资产的突破口,当用户在恶意网站或DApp中点击"签名"按钮时,看似普通的授权可能隐藏着资产转移的陷阱,这种"签名盗刷"事件已让无数投资者血本无归。
签名盗刷的核心在于用户对签名内容的疏忽,黑客常通过虚假空投、高收益理财等诱饵,诱导用户签署恶意授权,将钱包控制权让渡给攻击者,2023年某知名NFT平台爆出的安全事件中,超过2000个钱包因签署恶意授权导致ETH和NFT被盗,涉案金额逾千万美元,更隐蔽的是,有些恶意签名会植入"无限授权"条款,使黑客能长期支配用户资产。
防范签名盗刷需要建立"三查"习惯:查请求方地址是否为官方合约,查授权范围是否包含资产转移权限,查历史交易记录异常,硬件钱包如Ledger、Trezor能提供物理隔离的签名环境,从源头降低风险,对于普通用户,最有效的防线或许是"不授权陌生人"——任何要求钱包签名
