一起针对币安链(BNB Chain)的“二维码图片”盗窃案引发行业震动,不同于传统攻击手法,黑客利用用户对二维码的天然信任,通过篡改或伪造交易二维码图片,实现了精准的资金盗取,再次敲响了数字资产安全警钟。

据安全团队分析,

随机配图
此次攻击的核心在于用户交互环节的漏洞,黑客通过钓鱼邮件、恶意链接或第三方恶意应用,诱骗用户下载或扫描被植入恶意代码的二维码图片,这类图片表面与正常交易二维码无异,但扫描后,实际接收地址却被篡改为黑客控制的地址,由于二维码本身具有“不可见篡改”特性,用户仅凭肉眼难以识别异常,一旦确认交易,资金便瞬间转移,更值得关注的是,部分攻击者还利用了去中心化应用(DApp)的签名漏洞,诱骗用户在授权二维码中 unknowingly 签署恶意交易,进一步加大了防范难度。

此次事件暴露出数字资产生态中的多重风险:用户对二维码的“信任惯性”被黑客利用,安全意识亟待提升;当前DApp生态的签名机制与二维码验证流程仍存在监管盲区,缺乏统一的安全标准,币安链官方已紧急发布安全公告,提醒用户通过官方渠道获取二维码,并开启地址白名单功能,但类似攻击仍可能波及更多缺乏安全经验的普通用户。

在Web3.0时代,技术革新的同时,安全边界也需同步重构,用户需牢记“不轻信、不扫描、不授权”的三不原则,开发者则应强化二维码验证与交易地址二次确认机制,唯有将安全意识嵌入每一次交互,才能让“扫码”这一便捷操作,不再成为黑客的提款通道。