案例描述
受害者 A 发出一笔正常交易将 500 USDC 发给B后,过一段时间会收到 C (黑客)转来的 0 USDC,同时,在同一笔交易 hash 内用户 A 自己也会不受控制的给 C 转 0 USDC,实现了 “一来一回” 的 0 USDC 转账操作。
案例解释
原因主要是代币合约的 TransferFrom 函数未强制要求授权转账数额必须大于 0,因此可以从任意用户账户向未授权的账户发起转账 0 的交易而不会失败。
恶意攻击者利用此条件不断地对链上活跃用户发起 TransferFrom 操作,以触发转账事件。
注意事项
其实这是一种常见的骗局,攻击者利用了 EVM 代币合约的固有漏洞,进行的恶意转账事件。
用户不需要恐慌,你的钱包还是安全的,无需担心,直接忽略即可。
在转账时请仔细检查,复制正确的转账地址,避免资产损失。