旧坑新伤：授权恶意合约被盗深度技术分析

查找币:余老师 | 学术研究 | 2026-05-10 12:39 | 5 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

## 背景近期，查找币安全团队在处理多起用户资产被盗事件时，发现了一个令人警醒的共性：受害者早在两年多前无意中点击了 `Approve` 授权操作，而黑客正是利用这些“沉睡”的授权记录，在无人察觉的情况下转移了资金。区块链的特性——“雁过留痕”——让我们得以从海量链上数据中抽丝剥茧，还原攻击全貌。 ## 被盗案例分析根据受害者提供的交易哈希 `0x59aef62a8cee79996ff2b44b723c97fbc0c6e2a0992c61dea0e65fcb2d78f608`，我们首先观察到受害者地址 `0x8CCb` 被黑客地址 `0xFf6F` 盗走了 **13,811 USDT**。初看之下，这笔交易并未采用常见的链下签名方式（如 `permit/permit2`），也没有利用合约漏洞进行任意授权，更未涉及 `create2` 等高级合约部署技巧。排除了这些常见手法后，我们确认：这竟是一次最基础的 `Approve` 授权漏洞利用，而导火索早已埋下。 ### 链上交易溯源通过分析历史交易记录，我们发现受害者曾在 **2021 年 11 月 9 日** 授权了一个恶意合约地址 `0x3880285800a89AB3C4338bf455acdA3da6f8fA24`。授权交易哈希为 `0x018479875137e5eafcc183c5574cf9197ee14c7921b5f6796b385bb15e8bf96d`。时间轴如下： - **2021 年 11 月 9 日 08:13:28**：受害者授权给恶意合约地址 - **2023 年 12 月 16 日 07:26:53**：USDT-BEP20 被非授权转移中间间隔长达 **767 天**。这并非偶然——黑客在等待授权“冷却”后，再利用残留的 `Allowance` 进行资产转移。 ### 攻击步骤详解通过 Tenderly 模拟工具，我们还原了这笔交易的执行流程： 1. **余额与授权检查** 调用合约 `0xcc4187` 的 `0xe473d7ed` 方法，查询受害者地址的 USDT 余额以及对该恶意合约的 `Allowance`（授权额度）。 2. **权限验证** 调用恶意合约 `TransparentUpgradeableProxy`（地址 `0xd367b5`）的 `0xe5ee9334` 方法，验证 `0xcc4187` 合约地址的 `Role` 角色权限。这一步确保只有特定角色才能触发后续的 `transferFrom` 调用。 3. **资产转移** 恶意合约作为 `msg.sender`，调用 USDT-BEP20 的 `transferFrom` 函数，将受害者授权给恶意合约的 Token 资产转移到黑客获利地址 `0xFf6F`。整个过程中，受害者未进行任何主动操作，黑客仅通过链上数据检索到残留授权，即可完成资金窃取。 ## 查找币追踪系统分析 ### 黑客地址画像通过查找币追踪系统，我们对黑客地址 `0xFf6FC7eafF07C93b555a1CA2A9efcBbca2b8c83D` 进行了深入分析： - **初始资金来源**：黑客从 Tornado Cash 转入 **0.098 BNB** 作为启动资金 - **交互协议**：使用过 Venus、PancakeSwap、DinosaurEggs、WombatExchange 等 DeFi 协议 - **累计获利**：目前已获利约 **20 万美元**，涉及多种代币 ### 恶意合约溯源对恶意合约地址 `0x3880285800a89AB3C4338bf455acdA3da6f8fA24` 的分析显示： - 该地址在查找币追踪系统中被标记为 **King**，原为项目 `King` 的合约地址 - 该合约与 `Kingfund Finance` 存在交互，且 `King` 和 `Kingfund Finance` 实为同一项目 - 合约创建者地址 `0x37a7cA97b33b6a9D1d80D33bff9E38f156FF8541` 被标记为 `Kingfund Finance: Deployer` ### RugPull 项目背景搜索项目信息发现，`Kingfund Finance` 在 **2022 年 1 月 19 日** 实施了 RugPull，卷走超过 **300 WBNB**（约 141,000 美元），随后关闭官网和官方推特。这意味着，至今未对该恶意合约取消授权的用户，仍面临资产被盗风险。 ## Dune 数据分析基于上述特征，我们利用 Dune 分析平台构建了数据集（[Dune 数据集链接](https://dune.com/查找币追踪系统/rugpull-malicious-authorization)），发现另一个用户地址在 **2022 年 1 月** 授权了上述恶意合约，随后在 **5 月** 又授权了另一个 RugPull 恶意合约地址 `0x3a40AeC5453dB9b49ACb2993F0F82FB1553f4C23`。该恶意合约的创建者 `0x406119D496a3b0D1F0B7DA020B5e89d6FFf4Ff08` 已将大部分获利资金通过 Tornado Cash 进行混币清洗。目前，相关地址已被查找币追踪系统拉黑。 ## 技术总结与安全建议 ### 攻击本质本案例揭示了区块链安全中一个常被忽视的漏洞：**长期残留的授权额度**。攻击流程可概括为： 1. 用户无意中授权给恶意合约（通常是 RugPull 项目） 2. 项目方跑路后，合约地址仍保留在链上 3. 黑客通过链上数据检索，发现未取消授权的用户 4. 利用 `transferFrom` 函数直接转移资产 ### 防御措施为避免此类攻击，查找币安全团队建议用户： - **定期检查授权**：使用 RevokeCash、ScamSniffer、Rabby 等工具查询授权列表 - **及时取消异常授权**：发现未使用或异常合约的授权，立即取消 - **警惕 RugPull 项目**：对于已跑路或关闭的项目，务必检查相关合约授权 - **使用多签钱包**：对高价值资产，采用多签钱包降低单点风险 ## 结语 “旧坑新伤”并非危言耸听——区块链的不可篡改性在保障交易透明的同时，也使得历史授权成为潜在攻击面。钓鱼无孔不入，安全防范需持之以恒。 --- **本文由查找币安全团队整理发布**

旧坑新伤：授权恶意合约被盗深度技术分析

查找币安全研究院

主题延伸阅读