Cú Lừa 24 百万美元 揭露交易历史中的精巧陷阱

加密货币市场刚刚又出现了一起令人震惊的资金丢失事件。约2400万美元的稳定币从一个与加密KOL Sillytuna相关的钱包中消失，受害者陷入了“地址中毒”陷阱——一种看似简单但在DeFi生态系统中越来越有效的诈骗手法。

根据区块链安全公司PeckShield的调查，地址0xd2e8…ca41在一次误转交易中被提取了约2400万美元的aEthUSDC。值得注意的是，这次交易并非复杂的黑客攻击，而是源于一个非常愚蠢的错误——误复制了钱包地址。

地址中毒并不利用区块链的漏洞，而是直接攻击人的习惯。攻击者会创建一个与受害者真实地址前后几位字符几乎相同的虚假地址。随后，他们向目标钱包发送极小金额的交易。这些交易会让虚假地址出现在受害者的交易历史中。当用户下一次需要转账时，就可能不经意间复制了这个虚假地址。

许多人在复制地址时，习惯性地从交易历史中快速复制，而交易历史中早已暗藏了虚假地址。只要一次失误，全部资产就可能直接转入黑客的钱包。在Sillytuna的案例中，这一失误的代价高达2400万美元。

链上分析显示，黑客并未立即洗钱。大约2000万美元的DAI仍然停留在两个由攻击者控制的中转钱包中。尚未将资金转入混币服务或匿名服务，表明黑客可能正在分割资金，准备在多个链上进行转移。

部分资产已开始桥接到Layer-2的Arbitrum，这是在资金通过DeFi协议、去中心化交易所或跨链桥分散之前的常见操作，用以模糊追踪痕迹。

受害者宣布悬赏10%的追回资金，奖励任何协助追踪和追回资产的个人或平台。甚至，这一提议也对曾参与事件的人开放，只要他们帮助归还被盗资金。

近年来，地址中毒事件大幅增加，原因在于它具有三大特点：成本极低——只需几笔dust交易；难以发现——虚假地址与真实地址极为相似；成功率高——尤其对频繁交易者而言。即使是经验丰富的交易者，也可能像本文受害者一样陷入陷阱。

去年底也发生了一起类似的震惊事件。一名用户在误转资产到骗子地址后，损失了近5000万美元的USDT。分析人士将此事件视为史上最大规模的链上诈骗之一。

面对不断变化的黑客手法，安全专家建议用户绝不要从交易历史中复制地址，务必核对完整地址，不仅仅是前后几位字符；在转账大额资金时使用白名单地址；在硬件钱包上再次确认交易，确保所有参数都正确无误后再进行操作。