欧易交易所官网安全警示，欧易慢雾科技报告深度复盘MetaMask恶意授权攻击事件

admin ok 2026-05-24 9

目录导读

2024年以来,区块链安全领域爆发了一起针对MetaMask钱包用户的系统性攻击事件，据欧易慢雾科技报告披露，黑客利用伪装成合法DeFi项目的钓鱼页面，诱导用户签署恶意“授权交易”，进而窃取ERC-20代币，此次攻击波及数千个地址，单笔损失最高达120万美元。

欧易交易所官网安全警示，欧易慢雾科技报告深度复盘MetaMask恶意授权攻击事件-第1张图片-欧易交易所

攻击者通过社交媒体、空投链接和伪造的“欧易交易所官网”推广页面传播恶意合约，用户一旦在MetaMask中确认了看似正常的“approve”交易，黑客便获得对用户代币的无限制转移权限，慢雾科技明确将此列为2024年第一季度最高危的链上攻击类型之一。

用户请注意： 任何要求您连接钱包并签署“授权”的陌生网站都需高度警惕，访问欧易交易所下载时请务必核对域名真实性。

MetaMask的approve机制允许用户赋予智能合约取用其代币的权限,正常场景下，这用于Uniswap等DEX进行交易，但攻击者伪造了“空投领取”或“质押挖矿”界面，实际合约权限设置为“unlimited allowance”。

更危险的变种是“签名劫持（permit）”，攻击者利用EIP-2612标准，让用户签署一条离线消息，声称是“Gasless授权”，用户只需“签名”而无需支付Gas费，但这已足以让黑客调用transferFrom转移资产，慢雾科技在报告中特别指出，此次攻击中70%的受害者都是在签名后数小时内被盗。

安全提示： 任何要求“签名”的陌生操作，请先在欧易交易所下载官方渠道确认项目真实性。

慢雾安全团队追踪到三个主钱包地址,累计接收了价值约800万美元的赃款，这些地址呈现出典型的“分层洗钱”特征：第一层收集赃款，第二层通过跨链桥转移至BSC，第三层进入隐私协议。

慢雾科技呼吁所有用户立即检查钱包授权记录,登录欧易交易所下载安全中心可获取免费检测工具。

如发现不认识的合约,立即使用Revoke.cash或Etherscan自带的“Revoke”功能撤销。

若您已签署可疑交易：

访问欧易交易所下载时，务必核对域名是否完整拼写，攻击者常使用“okx.xyz”或“okx-defi.com”等仿冒域名。

对于陌生DApp,仅授权您准备交易的最小金额，切勿批准unlimited授权。

大额资产应存储在硬件钱包（如Ledger、Trezor）中，MetaMask仅连接小额度热钱包。

每月使用Revoke.cash清理一次旧授权，欧易官方安全中心也提供一键检测功能。

问：我已经在MetaMask上签名了，资产一定会被盗吗？
答：不一定，但风险极高，若签名内容涉及permit授权，攻击者随时可以触发转移，建议立即转移资产并撤销授权。

问：如何分辨真假欧易交易所官网？
答：真正的欧易官网域名严格遵循官方公告，请务必从欧易交易所下载页面进入，注意检查SSL证书和页面设计细节。

问：慢雾科技报告中提到的攻击是否影响交易所用户？
答：本次攻击主要针对MetaMask等非托管钱包用户，交易所托管钱包因无用户直接授权机制暂未受影响。

问：使用手机版MetaMask是否更安全？
答：手机版同样面临钓鱼风险，且因屏幕小更难识别合约地址，建议大额操作使用桌面版配合硬件钱包。