目录导读
- 事件背景:慢雾科技最新报告揭示的MetaMask授权攻击是什么?
- 攻击手法拆解:黑客如何通过伪装授权掏空你的钱包?
- 币安生态的应对策略:从交易平台到用户自查,安全防线如何升级?
- 用户自救指南:5个步骤立刻检查你的MetaMask授权状态
- 问答核心:币安用户最关心的3个安全问题与实测解答
事件背景:这波攻击到底多严重?
慢雾科技发布了一份令加密社区震动的报告——针对MetaMask用户的恶意授权攻击正在系统性爆发,报告指出,攻击者通过伪造dApp授权页面,诱导用户签署“虚假授权交易”,一旦确认,你的钱包资产将被自动转走,且无法撤回。

慢雾科技安全团队在监测中发现,这类攻击已造成数万枚BNB等主流代币被盗,而作为全球交易量领先的交易所,币安迅速响应:不仅上线了恶意合约黑名单数据库,更在安全中心首页主动推送了相关风险提示,如果你常用MetaMask连接去中心化应用,现在必须立刻检查你的授权历史。
攻击手法拆解:你签的那个“同意的按钮”可能是陷阱
慢雾科技报告中详细拆解了攻击流程:
- 第一步:钓鱼链接,攻击者在社群、伪装成空投活动的网站发送链接,页面与Uniswap、OpenSea等头部dApp完全一致。
- 第二步:诱导签名,用户点击“连接钱包”后,弹出看似正常的MetaMask签名窗口,但其中“授权代币”的参数被替换为“无限授权”——允许攻击者转走所有相关代币。
- 第三步:静默转移,一旦签名生效,黑客可在任意时间调用该授权,即使你离线。
关键警示:慢雾指出,很多用户误以为“取消授权”就能止损,但若转移指令已嵌入链上,资产将不可逆转。币安安全团队建议用户定期使用Revoke.cash等工具清理授权。
币安生态的应对策略:不只是交易平台,更是安全防火墙
作为行业头部交易所,币安在慢雾报告公布后迅速升级了三道防线:
- 内置风控扫描:当用户在币安网页端或APP提现时,系统会自动比对目标地址是否被标记为“高风险授权地址”。
- 安全培训专线:币安学院新增“MetaMask授权漏洞”专项课程,手把手教用户如何识别假链接。
- 跨链预警系统:利用BNB链的链上追踪工具,币安与慢雾科技合作建立了恶意合约库,当用户通过币安链浏览器查询时,会直接标注风险等级。
记住:如果你习惯用MetaMask管理资产,最好先通过币安生态内的DApp钱包(如Trust Wallet)交叉验证授权请求。
用户自救指南:5步检查你的MetaMask授权安全
步骤1:打开MetaMask,点击“资产”列表,找到你持有的代币(如BNB、USDT等)。
步骤2:点击代币右侧的三个点菜单 → 选择“查看详情” → 向下滚动到“授权”板块,如果列表中有陌生合约地址,立刻标记。
步骤3:使用币安官方推荐的安全工具(点击链接直达)验证可疑合约,该工具由币安安全团队维护,输入合约地址即可获取慢雾科技的最新评分。
步骤4:针对可疑授权,通过Metamask内置的“撤销授权”功能操作,如果确认是恶意合约,建议直接转出全部资产至新钱包。
步骤5:养成习惯:每次连接新dApp前,先通过币安安全中心查询该应用是否被列入威胁名单。
问答核心:币安用户最关心的3个安全问题
Q1:我的MetaMask授权了恶意合约,但已经转到币安交易所的账户还会被盗吗?
A:不会,币安交易账户和MetaMask钱包是分离的,但只要你的钱包地址仍授权了恶意合约,该钱包内的所有代币(包括未转走的gas费)都有可能被盗,慢雾的报告案例中,有受害者甚至因保留少量ETH用于GAS费而被精准“收割”。建议冻结该钱包后联系币安客服验证地址。
Q2:币安APP里直接购买币,是否受这次MetaMask攻击影响?
A:完全不受影响,通过币安账户直接执行的交易(如现货、合约、理财)不涉及链上授权签名,但如果你从币安提现到MetaMask,提现前记得用安全工具检查接收地址的授权状态,慢雾数据显示,部分攻击者会提前向目标钱包注入“隐性授权”。
Q3:已经签了“无限授权”,除了换钱包还有别的办法吗?
A:有,但需要立刻行动,理论上,如果你发现签名尚未被恶意合约调用,可通过加快链上交易(如使用加速器)赶在黑客之前执行“取消授权”交易,但慢雾强调,这类操作成功率较低,更稳妥的做法是:立即将所有资产通过币安提现功能转入新生成的MetaMask钱包(注意:需先转移至CEX中转),你可以用币安快速提现功能以免链上拥堵,同时在新钱包中设置严格的授权额度——每次给dApp授权时,手动修改为“一次性授权”而非“无限授权”。
结尾提醒:慢雾科技的这份报告是一记响亮的警钟,在去中心化世界里,币安作为中心化交易所始终在努力为你兜底——但保护好私钥、日常检查授权、只点击可信链接,才是你真正的“自我托管”,立刻关闭这篇文章,打开MetaMask检查你的授权列表,安全永远比方便更重要。
标签: 恶意授权