跳到主要内容

复制粘贴犯罪:一个简单习惯如何让加密钱包损失数百万

· 阅读需 5 分钟
Dora Noda
Software Engineer

当你发送加密货币时,通常的操作是什么?对大多数人来说,就是从交易记录中复制收款方的地址。毕竟,没有人能记住像 0x1A2b...8f9E 这样 40 位的字符串。这是我们都在使用的便利快捷方式。

但如果这种便利正是精心布置的陷阱呢?

一种极具破坏性的诈骗手法——区块链地址投毒,正是利用了这一习惯。卡内基梅隆大学的最新研究揭示了这一威胁的惊人规模。仅在以太坊和币安智能链(BSC)网络上,两年内诈骗者就发起了超过 2.7 亿次攻击尝试,针对 1700 万受害者,成功窃取至少 8380 万美元

这并非小众威胁,而是当今最成功、规模最大的加密钓鱼方案之一。下面我们来看看它的工作原理以及你可以采取的防护措施。


欺骗是如何运作的 🤔

地址投毒是一场视觉欺骗的游戏。攻击者的策略简单却高明:

  1. 生成相似地址:攻击者先锁定你常用的收款地址,然后利用强大的计算资源生成一个新地址,使其 起始和结尾字符完全相同。由于大多数钱包和区块浏览器都会对地址进行缩略显示(例如 0x1A2b...8f9E),他们的欺诈地址在视觉上与真实地址几乎一致。

  2. “投毒”你的交易历史:接下来,攻击者需要把这个相似地址写进你的钱包历史。他们会发送一笔“投毒”交易,方式包括:

    • 微额转账:从相似地址向你发送极小金额的加密货币(如 $0.001),该笔交易随即出现在你的最近交易列表中。
    • 零价值转账:更狡猾的做法是利用许多代币合约的特性,制造一笔看似 从你 到他们 相似地址的零美元转账。这样,假地址看起来更为可信,因为它似乎已经收到过你的资金。
    • 伪造代币转账:他们创建一个毫无价值的假代币(例如 “USDTT” 而非 USDT),并伪造一次转账到相似地址,常常模仿你之前的真实交易金额。
  3. 等待失误:陷阱已经设好。下次你要向合法联系人付款时,会打开交易历史,看到看似正确的地址,复制后直接发送。等你意识到错误时,资金已经不见了。由于区块链的不可逆性,既没有银行可以求助,也没有办法追回。


犯罪组织一瞥 🕵️‍♂️

这并非孤立黑客的行为。研究显示,这类攻击由大型、组织化且极具盈利性的犯罪团伙实施。

目标人群

攻击者不会浪费在小额账户上,他们系统性地锁定以下用户:

  • 资产丰厚:持有大量稳定币。
  • 活跃频繁:交易次数多。
  • 高价值转账者:经常移动大额资金。

硬件军备竞赛

生成相似地址是一项暴力计算任务。匹配的字符越多,难度呈指数级上升。研究人员发现,大多数攻击者使用普通 CPU 生成中等相似度的假地址,而最先进的犯罪团伙已经将此技术提升到另一个层次。

该顶级团伙能够生成与目标地址 前后共 20 位 完全相同的地址。这在普通电脑上几乎不可能实现,研究人员因此推断他们使用了巨大的 GPU 农场——与高端游戏或 AI 研究相同的硬件。这表明他们在硬件上的投入巨大,而这些投入可以轻松从受害者身上回本。这些组织化的团伙实际上在运营一门生意,而这门生意正蒸蒸日上。


如何保护你的资产 🛡️

虽然威胁技术高超,但防御手段却相对直接。关键在于打破坏习惯,养成更谨慎的操作习惯。

  1. 对所有用户(最重要的一点):

    • 核对完整地址。在点击 “确认” 前,额外花五秒钟逐字符检查 完整 地址,勿只盯着前几位和后几位。
    • 使用地址簿。将可信、已验证的地址保存到钱包的地址簿或联系人列表中。发送资金时,务必从已保存的列表中选择收款方,而不是从动态的交易历史中挑选。
    • 先发小额测试。对于大额或重要付款,先发送极小金额进行测试,确认收款方已收到后再发送全部金额。
  2. 呼吁更好的钱包设计:

    • 钱包开发者可以通过改进用户界面来帮助用户,例如默认显示更多地址字符,或在用户即将向仅有微额或零价值交互记录的地址发送资金时弹出强烈、明确的警示。
  3. 长期根本解决方案:

    • 类似以太坊名称服务(ENS)这样的系统,允许你将可读的名称(如 yourname.eth)映射到地址,从根本上消除此类风险。关键在于更广泛的采用。

在去中心化的世界里,你既是自己的银行,也是自己的安全负责人。地址投毒是一种潜伏且强大的威胁,利用了便利性和注意力缺失。只要你保持警惕、仔细核对,就能确保辛苦赚来的资产不落入诈骗者的陷阱。