一名加密貨幣交易者在12月20日的一筆交易中損失了近5000萬美元,成為了一次複雜的「地址中毒」攻擊的受害者。這起事件中,49,999,950 USDT直接轉入了騙子的錢包,突顯了一個日益嚴重的安全危機,高科技竊賊利用基本的人類習慣和用戶介面限制進行攻擊。
根據鏈上調查員Specter的說法,受害者在嘗試將資金從交易所轉移到個人錢包時,最初向其合法地址進行了50 USDT的測試交易。這一行為被攻擊者發現,攻擊者立即生成了一個「偽造」的個性化地址,該地址與受害者合法錢包的前四個和後四個字符相匹配。
閱讀更多:2025年的加密詐騙:如何識別並保護自己
攻擊者隨後從這個假地址向受害者發送了一小筆加密貨幣,有效地「中毒」了用戶的交易歷史。在隨後的討論中,Specter對一名交易者因「最不可能導致如此巨大損失的原因」而失去資金感到遺憾。回覆同為調查員的ZachXBT,後者對受害者表示同情,Specter說:
「這正是我無言以對的原因,因為一個簡單的錯誤而損失如此鉅額的資金。只需幾秒鐘從正確的來源複製並貼上地址,而不是從交易歷史中獲取,就可以避免這一切。聖誕節被毀了。」
由於大多數現代加密錢包和區塊瀏覽器會截斷長的字母數字字串——在中間顯示省略號(例如,0xBAF4…F8B5)——因此偽造的地址在一眼看去時與受害者自己的地址完全相同。因此,當受害者繼續轉移剩餘的49,999,950 USDT時,他們遵循了一種常見做法:從最近的交易歷史中複製收款地址,而不是從源頭獲取。
在中毒攻擊發生後的30分鐘內,近5000萬美元的USDT被兌換為穩定幣DAI,然後轉換為約16,690 ETH,並通過Tornado Cash進行洗錢。在意識到發生了什麼後,絕望的受害者向攻擊者發送了一條鏈上訊息,提供100萬美元的白帽賞金以換取98%資金的歸還。截至12月21日,這些資產仍未被追回。
安全專家警告稱,隨著加密資產達到新高,這些低技術、高回報的「中毒」詐騙變得越來越普遍。為了避免類似的命運,持有者被敦促始終直接從錢包的「接收」標籤中獲取接收地址。
用戶應在其錢包中將可信地址列入白名單,以防止手動輸入錯誤。他們還應考慮使用需要實體確認完整目標地址的裝置,以提供關鍵的第二層審查。
- 12月20日的攻擊發生了什麼? 一名交易者因地址中毒詐騙損失了近5000萬美元USDT。
- 詐騙是如何運作的? 攻擊者偽造了一個在截斷形式下看起來完全相同的錢包地址。
- 被盜的加密貨幣被轉移到哪裡? 資金通過DAI洗錢,轉換為ETH,並通過Tornado Cash進行轉移。
- 交易者如何保護自己?
始終從錢包的「接收」標籤中複製地址,並將可信帳戶列入白名單。
