看似简单、却屡屡得手的「地址投毒攻击(Address Poisoning Attack)」近来频频发生,日前就有一位加密货币交易员因误入这类陷阱,短短半小时损失近 5 千万美元 USDT,虽然事后开出 100 万美元的「白帽赏金」求攻击者归还资产,但在失窃资产已流入混币平台的情况下,追回希望渺茫。
根据链上数据分析平台 Lookonchain 追踪,这起事件发生在 12 月 20 日,受害者当时正从币安(Binance)提领资产,并打算转移到个人钱包。
A victim (0xcB80) lost $50M due to a copy-paste address mistake.
Before transferring 50M $USDT, the victim sent 50 $USDT as a test to his own address 0xbaf4b1aF…B6495F8b5.
The scammer immediately spoofed a wallet with the same first and last 4 characters and performed an… pic.twitter.com/eGEx2oHiwA
— Lookonchain (@lookonchain) December 20, 2025
依照多数大额转帐的安全惯例,受害者先行发送 50 枚 USDT 作为测试交易,确认地址无误。然而,就在这笔小额转帐完成后,攻击者操控的自动化脚本,立刻生成一个「伪装地址(Spoofed Address)」,且地址前 5 码与后 4 码,与受害者原本的收款地址完全相同,仅中间字符有所差异。
接着,攻击者刻意使用「伪装地址」向受害者钱包发送数笔小额交易,以便让「毒地址」出现在受害者的交易历史清单中,等到受害者要转移剩下的 4,999 万美元时,为了图方便,就直接在交易纪录中点选了这个高度相似的诈骗地址。
由于多数钱包介面为了方便阅读,会将中段字元以「……」省略显示,这使得两组地址在视觉上几乎难以分辨。
区块链浏览器 Etherscan 显示,测试转帐发生在 UTC 时间 3:06,而真正造成巨额损失的转帐,则在约 26 分钟后的 3:32 发生。
资安业者慢雾科技(SlowMist) 指出,这位攻击者是名副其实的「洗钱老手」。在收到近 5,000 万美元的 USDT 后,仅花不到 30 分钟就完成以下步骤:
为了挽回损失,受害者已透过链上讯息,向诈骗者提出条件:愿意支付 100 万美元白帽奖金,换取归还 98% 的资产。
受害者更明确警告:「我们已正式报案,并在执法部门、资安机构及多个区块链协议的协助下,掌握了大量有关你具体行动的情资。」
这起案件只是今年币圈资安风暴的冰山一角。根据 Chainalysis 最新报告,2025 年加密货币失窃总额已突破 34.1 亿美元,刷新历史纪录。
值得关注的是,Casa 共同创办人 Jameson Lopp 警告,「地址投毒」已在各大区块链扩散,光是在比特币网络上就发现超过 4.8 万起类似攻击。他强烈呼吁钱包业者应开发「相似地址警告」功能,在用户复制贴上时弹出警示,防止这类人为疏忽导致的悲剧重演。
_
免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表区块客观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及区块客将不承担任何责任。
_
Tags: 加密货币地址投毒攻击数位资产白帽钱包骇客