8 分钟 · 64 万美元 USDC 蒸发
先把结局摆这。2025 年 2 月 11 日凌晨,一名加密用户签下一个 Permit2 离链签名,8 分钟后他钱包里的 64 万美元 USDC 通过一笔 transferFrom 被一次性扫走。整个过程他的钱包没有发起任何 transaction,是攻击者用他的签名调用的。
那 8 分钟之前 · 一条吐槽推文
同一天洛杉矶时间 1:47 AM,另一位 Web3 开发者在 X 上吐槽 Phantom 钱包「swap 失败了 3 次」。47 秒内他收到 4 条回复,全部来自「Phantom Support」「SolanaHelp」「Web3 Rescue Bot」之类的账号,全部挂蓝标,全部建议「connect wallet to our diagnostic tool」。这位开发者警惕度高,截图自嘲发回去。但同一推文下,另一个资金量更大、警惕度更低的用户走完了流程 —— 那个人就是 8 分钟蒸发 64 万的主角。
为什么这事 60 秒就能发生
SlowMist 2025 年的《X 客服评论钓鱼态势报告》给了数字:单一团伙每周可贴到 200 万条评论下。bot 后台共享一份「品牌-关键词-话术」数据库,监控所有大型钱包、链、交易所官方账号下的评论。脚本扫到 lost / stuck / pending / help 等词,1 分钟内贴回复。蓝标账号库由数百个被盗或刷量号轮换上线,每个生命周期 3-7 天。
受害者画像高度一致:男性、30-45 岁、深夜上线、刚遭遇技术问题、心情焦躁。social engineering 教科书里的「低警惕窗口」在现实里就是这副样子。
5 条信号
- 你发推 60 秒内多个「客服」齐刷刷出现 —— 没有任何官方反应能这么快
- 回复账号粉丝量是「看着可信」的整数(14k / 22k / 31k)
- 链接挂 calendly / linktree / typeform —— 真官方永远是自家域名
- 「connect wallet / sign for verification」—— 钱包不需要签名来「诊断」
- @username 里有数字代替字母(Phant0m_Help 那个 O 是零)
已经签了怎么办
Permit / Permit2 不会出现在 revoke.cash 里 —— 那只显示链上 approval。唯一办法是把被授权范围内的 token 全部转走。按《私钥泄露应急 · 五步抢救流程》第三步执行。每多 1 分钟攻击者越接近调用 transferFrom。
装一个 Pocket Universe 或 Rabby 这种签名解析插件,那 64 万本来可以拦住 —— 它们会把 Permit2 的结构化字段翻译成「你将授权 0xabc... 转走全部 USDC,金额 max uint256」。看到这种翻译就知道是钓鱼。