假请求财务合约从安全钱包中流失了300万美元USDC

Web3社区经历了一次悲惨的动荡，发生了一起重大的加密安全漏洞。一名受害者遭遇了一种复杂的攻击，损失了304.7万美元的$USDC。此次攻击涉及一个虚假的Request Finance合约，该合约与一个Safe多签钱包相关联。

🚨 一名受害者昨日通过涉及假冒Request Finance合约的复杂攻击损失了304.7万美元USDC。关键发现：• 受害者的2/4 Safe多签钱包显示通过Request Finance应用界面进行批量交易• 隐藏内容：对恶意… pic.twitter.com/U9UNfYNZhv

— 诈骗嗅探器 |Web3 反诈骗 (@realScamSniffer) 2025 年 9 月 12 日

这一漏洞突显了即使是看起来合法的批量交易，隐藏的恶意审批也可能导致事故。在这种情况下，经验丰富的用户也会遭受损失，面临脆弱性。

假请求金融合同使系统愚蠢

Scam Sniffer，一个揭示加密诈骗的平台，观察到在盗窃发生前的13天，攻击者部署了一个恶意合约。诈骗者故意设计了这个在Etherscan上验证的恶意合约，以获取合法的Request Finance Batch Payment合约的假副本。

两个地址的开头和结尾字符相同，几乎变得完全相同。这导致识别真实版本和欺诈版本的困难。攻击者进一步执行了多个“batchPayments”，以显得可信。

在使用 Request Finance 应用界面时，受害者执行了批量交易。此次执行无意中包含了对恶意合约的隐蔽批准。通过该批准，骗子获得了访问权限并清空了钱包。之后，他立即将资金兑换为 ETH，并将其转移到 Tornado Cash。因此，现在要恢复这些资金几乎是不可能的。

行业对攻击的反应及可能的安全措施

Request Finance 发布了一条快速警报，宣布部署了具有相同合约的恶意攻击。他们已澄清只有一人受到攻击，确保其他人他们已解决了该漏洞。

此外，目前攻击所涉及的确切向量仍不清楚。安全专家提供了多种可能的原因，包括应用程序级漏洞、受损的前端、恶意软件或浏览器扩展干扰、DNS劫持或其他注入技术。

通过这种利用，突显了一个日益严重的威胁，提高了对恶意验证合约和几乎相同地址的警觉。为了隐藏恶意授权，窃取者结合了多重发送功能，甚至利用小而关键的疏漏来执行他们的诈骗。

因此，专家建议用户仔细检查和验证每个批次的批准，同时逐字符交叉检查合约地址。用户在执行交易和给予批准时必须保持警惕。应用程序的安全性对于防止灾难性损失至关重要。