一名加密货币投资者因遭遇精心设计的“地址投毒”攻击,损失了 4,556 枚 $ETH,按当前价格约合 1,240 万美元。
化名为 Specter 的区块链分析师披露,这起盗窃事件发生在黑客向受害者钱包发起象征性“尘埃攻击”(dusted)约 32 小时后。
根据 Specter 进行的链上分析,攻击者过去两个月持续跟踪受害者的交易动态。在此期间,黑客特别锁定了一个专门用于场外(OTC)结算的收款地址。
黑客利用“个性化地址生成工具”,制作了一个与真实收款地址高度相似的“仿冒地址”,并确保该地址的首尾字母和数字与受害人指定的 OTC 地址完全一致。
“地址投毒”正是利用了用户通常仅核对长串十六进制地址的前几位和后几位的习惯。在本案中,伪造的地址和真实 OTC 地址在视觉上几乎无法区分。
黑客首先通过一笔小额交易“投毒”受害者钱包,将伪地址植入其交易记录。这一步骤让该仿冒地址在钱包“最近交易”列表中居于显眼位置。
因依赖受污染的转账历史记录,受害人在试图转移 1,240 万美元 $ETH 时,误将该仿冒地址粘贴为转账目的地,导致巨额资产被盗。
这是近期发生的第二起金额超千万美元的同类攻击事件。就在上月,另一名加密货币交易者通过类似手法损失近 5,000 万美元资产。
行业人士指出,这类攻击之所以愈发高发,源于许多钱包界面为节省屏幕空间,往往只显示地址的首尾字母,导致中间的关键差异被隐藏。
与此同时,该事件也对机构级投资者的资金管理和验证机制提出了严峻挑战。
虽然普通投资者多依赖“复制粘贴”地址进行转账,但大额机构一般会采用地址白名单和小额测试转账等严格风控流程。
因此,区块链安全公司 Scam Sniffer 已呼吁投资者不要再依赖交易历史进行定期加密货币付款。相反,Scam Sniffer 建议用户应采用经过验证、硬编码的地址簿,以降低界面欺诈的风险。
