注：本文来自@evilcos 和@0xblanker推特，MarsBit整理如下：

就在刚才，出现了一个非常聪明的钓鱼方式：

这两天@MultichainOrg 出事，官方和各种安全工具如 @RevokeCash 和 @Rabby_io 都在呼吁用户取消对Multichain的授权，同时开发小工具检查用户针对Multichain合约的授权。

BSC上出现了一个攻击者，部署了一个假的ERC-20代币（合约地址：https://bscscan.com/address/0x1af32e8488822bf8e2fff374de8d737ecfb368c3…），修改了`approve()`方法，并手动给大批链上地址伪造授权，让Revoke Cash和Rabby提醒用户取消授权。

https://bscscan.com/address/0x1af32e8488822bf8e2fff374de8d737ecfb368c3

然而，该ERC-20内的`approve()`实际上会大量消耗gas，让用户铸造 $CHI token（即gas token，销毁token可以获得gas refund）给合约部署者。理论铸造上线是整个区块容量，按BSC的正常gas水平3 Gwei，会扣掉被攻击者钱包中大约60美金等值的BNB。

https://bscscan.com/tx/0x7d3e1abaf857abd39e557ccb908c8273c436fd11d22f63c2791c73473bef63ad

当用户看到提醒取消授权时，点击取消授权并且发送交易，就会mint $CHI token到合约部署者的钱包内，目前部署者已经获得大约70k $CHI 价值400美金。

这个合约刚刚部署4个小时，随着时间的推移，受害者肯定会越来越多。

希望 @RevokeCash 和 @Rabby_io 团队注意一下，在触发`approve()`的时候做一次gas check，太离谱的gas limit给用户发个报警，或者直接拒绝交易。