吴说获悉，据 y2z Ventures 合伙人 blanker.eth 提醒，近几日 Multichain 出事，安全工具在呼吁用户取消授权，但 BSC 一名攻击者恰好利用了这一点，部署了一个假的 ERC-20 Token，其修改了 `approve()` 方法，并手动给链上地址伪造授权，让安全工具提醒用户取消授权。然而该 ERC-20 Token 内的 `approve()` 实际上会大量消耗 gas，让用户铸造 CHI Token（即 Gas Token，销毁 Token 可以获得 Gas refund）给合约部署者，会扣掉约 $60 等值 BNB。当用户看到提醒取消授权时，点击取消授权并且发送交易，就会铸造 CHI Token 到合约部署者钱包，目前部署者已经获得超过 200k CHI Token，约价值 $1,800。blanker.eth 呼吁 Revoke Cash 和 Rabby 团队注意在触发 `approve()` 的时候做 Gas check，以提醒用户或直接拒绝交易，另外也希望 BNB Chain 尽快整合 EIP-2398，取消 `SELFDESTRUCT` 和 `SSTORE` 的 Gas refund，正式杜绝该问题。

阅读原文