某交易者遭遇投毒攻击损失价值约合60万美元的USDT | 加密百科深度分析

加密百科独家解读

这件事本质上是一次“地址投毒攻击”，可以理解为一种数字世界的“偷梁换柱”。攻击者利用了区块链交易的一个核心特点：交易一旦发出，无法撤销。

通俗拆解一下发生了什么：

1. 攻击者设下陷阱：攻击者事先创建了一个“毒地址”。这个地址的开头和结尾部分，与受害者经常交易的某个真实地址（比如他的朋友或合作方的钱包）看起来极其相似。在这个案例中，真实地址是 `0x77f6ca8E...2E087a346`，而毒地址是 `0x77f6A6F6...DFdA8A346`。中间部分被刻意修改了，但开头和结尾的字符组几乎一样。

2. “下毒”过程：为了让你“认识”这个毒地址，攻击者会向你的钱包发送一笔金额极小（甚至是零）的交易。这笔交易没有实际损失，但它的唯一目的，就是让这个“毒地址”出现在你的历史交易记录里。这就像有人偷偷在你通讯录里存了一个假号码，名字看起来和你朋友几乎一样。

3. 受害者上钩：当受害者想要给真实地址转账时，他通常会从历史记录里选择地址。由于两个地址看起来太像了，他一个不留神，就错误地选中了那个“毒地址”。当他确认发送后，价值60万美元的USDT就直接打到了攻击者的口袋里。整个过程，攻击者没有破解任何密码，只是利用了人为的视觉疏忽。

为什么这种攻击防不胜防？

地址不友好：区块链地址是一长串乱码，人类无法记忆和准确比对。我们通常只记得开头和结尾的几位。

交易不可逆：这是区块链的安全基石，但也成了此类诈骗的帮凶。一旦转错，没有任何机构或个人能帮你追回。

钱包软件可能不提示：大多数钱包不会自动判断两个相似地址是否存在风险，它们只会执行你确认的操作。

如何保护自己？

使用地址簿：将常用的、重要的地址保存为联系人并命名（如“交易所提现地址A”），永远从地址簿调用，而不是手动复制或从历史记录中选择。

全面核对：转账前，务必完整地、逐字地核对整个地址，尤其是中间部分。不要只看开头和结尾。

首次小额测试：向一个新地址首次转账时，先发送一笔极小额的款项，确认对方成功收到后，再进行大额转账。

利用域名服务：如果对方支持，使用ENS（以太坊域名服务，如 `myname.eth`）等可读域名来代替复杂的地址，这大大降低了出错的概率。

背景资料 (原快讯)

注：以上背景资料自公开行业资讯，加密百科网仅作科普解读。