loading...
比特之家报道:一名加密货币投资者因遭遇复杂“地址投毒”攻击,损失4,556个以太坊,约合1240万美元。
链上分析师Specter披露,此次攻击在受害者钱包被异常活动侵扰约32小时后完成。攻击者历时两个月持续监控目标账户的交易行为,精准锁定一个用于场外交易结算的关键地址。
他们使用个性化地址生成工具,创建出一个与真实地址仅中间字符不同的欺诈地址。该伪造地址在视觉上与原地址高度一致,仅靠开头和结尾部分难以辨别差异。
这种攻击利用了用户普遍只核对地址首尾几位字符的习惯。当用户查看交易历史时,系统通常截断长串地址以节省空间,导致中间关键差异被隐藏,进一步放大了欺骗效果。
攻击者首先向受害者的钱包发送一笔小额转账,使伪造地址频繁出现在“近期交易”列表中。这一策略确保了该污染地址在用户进行大额转账时,成为默认选择。
当受害者准备执行一笔金额高达1240万美元的转移操作时,系统自动推荐了已被篡改的地址。由于依赖历史记录,用户未察觉异常,直接复制粘贴,导致资金流入黑客控制的账户。
这是近几周内第二起通过相同手法造成超千万美元损失的事件。上个月,另一名交易员也在几乎相同的骗局中损失约5000万美元。
业内专家指出,这类攻击频发的根本原因在于主流钱包客户端的设计逻辑——为提升可读性而截断地址,反而为界面欺骗创造了温床。
尽管机构级投资者通常采用白名单机制和测试交易流程,但此类漏洞仍可能被绕过。目前,区块链安全公司Scam Sniffer已公开建议所有用户,停止依赖交易历史作为地址来源,转而使用经过验证的硬编码地址簿,从根本上降低受骗风险。
随着此类攻击手段日益成熟,行业亟需重新评估钱包界面的安全标准,特别是在高价值交易场景下的信息呈现方式。
665
