假請求財務合約從安全錢包中流失了300萬美元USDC

Web3社區經歷了一次悲慘的動蕩，發生了一起重大的加密安全漏洞。一名受害者遭遇了一種復雜的攻擊，損失了304.7萬美元的$USDC。此次攻擊涉及一個虛假的Request Finance合約，該合約與一個Safe多簽錢包相關聯。

🚨 一名受害者昨日通過涉及假冒Request Finance合約的復雜攻擊損失了304.7萬美元USDC。關鍵發現：• 受害者的2/4 Safe多簽錢包顯示通過Request Finance應用界面進行批量交易• 隱藏內容：對惡意… pic.twitter.com/U9UNfYNZhv

— 詐騙嗅探器 |Web3 反詐騙 (@realScamSniffer) 2025 年 9 月 12 日

這一漏洞突顯了即使是看起來合法的批量交易，隱藏的惡意審批也可能導致事故。在這種情況下，經驗豐富的用戶也會遭受損失，面臨脆弱性。

假請求金融合同使系統愚蠢

Scam Sniffer，一個揭示加密詐騙的平台，觀察到在盜竊發生前的13天，攻擊者部署了一個惡意合約。詐騙者故意設計了這個在Etherscan上驗證的惡意合約，以獲取合法的Request Finance Batch Payment合約的假副本。

兩個地址的開頭和結尾字符相同，幾乎變得完全相同。這導致識別真實版本和欺詐版本的困難。攻擊者進一步執行了多個“batchPayments”，以顯得可信。

在使用 Request Finance 應用界面時，受害者執行了批量交易。此次執行無意中包含了對惡意合約的隱蔽批準。通過該批準，騙子獲得了訪問權限並清空了錢包。之後，他立即將資金兌換爲 ETH，並將其轉移到 Tornado Cash。因此，現在要恢復這些資金幾乎是不可能的。

行業對攻擊的反應及可能的安全措施

Request Finance 發布了一條快速警報，宣布部署了具有相同合約的惡意攻擊。他們已澄清只有一人受到攻擊，確保其他人他們已解決了該漏洞。

此外，目前攻擊所涉及的確切向量仍不清楚。安全專家提供了多種可能的原因，包括應用程序級漏洞、受損的前端、惡意軟件或瀏覽器擴展幹擾、DNS劫持或其他注入技術。

通過這種利用，突顯了一個日益嚴重的威脅，提高了對惡意驗證合約和幾乎相同地址的警覺。爲了隱藏惡意授權，竊取者結合了多重發送功能，甚至利用小而關鍵的疏漏來執行他們的詐騙。

因此，專家建議用戶仔細檢查和驗證每個批次的批準，同時逐字符交叉檢查合約地址。用戶在執行交易和給予批準時必須保持警惕。應用程序的安全性對於防止災難性損失至關重要。