跳到主要内容

地址投毒:一场通过复制粘贴悄然卷走数百万美元的隐蔽骗局

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

2025 年 12 月,一次简单的复制粘贴错误让一名加密货币交易员损失了 5,000 万美元。没有智能合约被利用,也没有私钥泄露。受害者仅仅是从交易历史中复制了一个钱包地址 —— 这个地址看起来与真实地址几乎一模一样,但实际上属于攻击者。欢迎来到地址下毒(Address Poisoning),这是 DeFi 领域最阴险且被低估的攻击向量。

什么是地址下毒?

地址下毒是一种社会工程学攻击,它将人类与区块链地址交互的方式武器化。与利用代码漏洞的传统黑客攻击不同,这种骗局利用的是一个更为基础的弱点:人类行为。

以下是它的实际运作流程:

  1. 监视:攻击者监视区块链,寻找进行定期转账的高净值钱包。
  2. 生成相似地址:利用 Profanity2 或 Vanity-ETH 等 GPU 加速的虚荣地址工具,攻击者生成一个与受害者常用收款地址的前 4–6 位和最后 4–6 位字符相匹配的钱包地址。
  3. 污染历史记录:攻击者从相似地址向受害者的钱包发送一笔极小额的交易 —— 通常是零值交易或仅几分钱。这就在受害者的交易历史中“种”下了假地址。
  4. 陷阱触发:当受害者稍后需要发送资金时,他们打开交易历史,看到一个看起来像常用收款地址的地址,复制并发送。资金便直接流向了攻击者。

整个攻击对对手而言,Gas 费用的成本低至几美分,而回报可能高达数百万美元。

规模惊人

USENIX Security 2025 上发表的学术研究揭示了这一威胁的真实规模。在为期两年的监测期内,研究人员在以太坊(Ethereum)和币安智能链(Binance Smart Chain)上识别出 2.7 亿次下毒尝试,目标针对 超过 1,700 万个唯一的受害者地址,使用了约 5,000 万个相似地址

仅在以太坊上,确认的损失就超过了 8,380 万美元。而这些仅仅是记录在案的案例 —— 实际数字几乎肯定更高,因为许多受害者从未报告,甚至没有意识到发生了什么。

Fusaka 效应

2025 年 12 月 3 日的以太坊 Fusaka 升级无意中强化了地址下毒。通过将交易费用降低约 6 倍,该升级使得大规模下毒活动的执行成本大幅下降。结果立竿见影:

  • 每日粉尘交易跃升至 16.7 万笔,在 2026 年 1 月创下了一天 51 万笔 的峰值。
  • 下毒尝试从 2025 年 11 月的 62.8 万次 激增至 2026 年 1 月的数百万次 —— 在短短两个月内增长了 5 倍以上。
  • 67% 的新活跃以太坊地址 在其首笔交易中收到的金额不到 1 美元,这是系统性粉尘攻击活动的明确指标。

虽然 Fusaka 升级后以太坊的每日交易量增长了约 50%,活跃地址增加了约 60%,但这种“增长”中有很大一部分是虚假的 —— 是由下毒机器人而非有机采用驱动的。

价值 5,000 万美元错误的剖析

迄今为止最具破坏性的地址下毒攻击发生在 2025 年 12 月 20 日。一名加密货币交易员首先向正确的地址发送了一笔小额测试交易 —— 这是标准的最佳实践。但攻击者正在监视。

几分钟内,攻击者生成了一个与受害者目的地匹配的相似地址,发送了一笔粉尘交易来污染历史记录,然后静静等待。仅仅 26 分钟后,受害者从交易日志中复制了被投毒的地址,并将 49,999,950 USDT 直接发送给了攻击者。

攻击者的行动极其精准:

  • 在 30 分钟内,通过 MetaMask Swap 将全部 5,000 万 USDT 兑换为 DAI —— 这是一个战略性选择,因为 Tether 可以冻结被标记钱包中的 USDT,但去中心化的 DAI 缺乏此类中心化控制。
  • 将 DAI 转换为约 16,690 ETH
  • 将 ETH 存入 Tornado Cash 以掩盖追踪。

受害者发布了一条链上消息,要求归还 98% 的资金,并提供 100 万美元的白帽奖金。资金从未被归还。

Sillytuna 案例:当数字攻击转向身体威胁

2026 年 3 月 5 日,加密货币影响力人物“Sillytuna”因 Aave 上的地址下毒攻击损失了价值 2,400 万美元的 aEthUSDC。攻击者迅速将代币兑换为 ETH,转换为约 2,000 万美元的 DAI,并开始将部分资金跨链至 Arbitrum 以增加追踪难度。

但此案超出了数字盗窃的范畴。Sillytuna 报告称,在攻击发生后收到了身体威胁,包括武器和绑架威胁。受害者宣布计划完全退出加密货币领域。这一事件说明了一个可怕的升级:地址下毒成为了针对已知加密货币持有者的数字与物理结合攻击的入口。

2026 年其他值得注意的事件包括:

  • 4,556 ETH(约 1,240 万美元)被盗:发生在 2026 年 1 月 30 日,受害者当时正在进行看似常规的场外交易(OTC)充值。
  • 根据 Scam Sniffer 的数据,在 2025 年 12 月至 2026 年 1 月期间,两名受害者因地址下毒共损失了 6,200 万美元

三种攻击变体

研究人员已经确定了三种主要的投毒策略,每种策略都利用了不同的技术机制:

1. 微额转账攻击 (Tiny Transfer Attacks)

攻击者从一个仿冒地址发送少量金额(通常在 10 美元以下)。这在受害者的交易历史中创建了一个看似合法的条目。虽然这会让攻击者损失真实的代币,但能产生具有欺骗性的历史记录。

2. 零值转账攻击 (Zero-Value Transfer Attacks)

利用 ERC-20 的 transferFrom 函数,攻击者可以在不消耗任何代币的情况下创建显示在交易日志中的代币转账事件。ERC-20 标准允许金额为零的 transferFrom 调用,区块浏览器和钱包会将其显示为正常交易。这是成本最低且最常见的变体。

3. 伪造代币攻击 (Counterfeit Token Attacks)

攻击者部署模仿合法代币(如伪造的 USDT 或 USDC)的虚假代币合约。他们从仿冒地址发送毫无价值的伪造代币,从而在许多钱包界面中创建出与真实转账看起来完全一致的交易历史条目。

为什么传统防御手段屡屡失效

地址投毒之所以持续存在,是因为它针对的是区块链安全与人类易用性之间的鸿沟:

  • 无需恶意软件:与网络钓鱼或键盘记录器不同,地址投毒不需要对受害者的设备进行任何访问。
  • 无需智能合约漏洞利用:区块链本身完全按照设计运行——受害者确实亲自授权了转账。
  • 依赖缩写:大多数钱包将地址显示为 0xAbCd...EfGh,仅显示开头和结尾的几个字符。攻击者专门匹配这些显示出来的部分。
  • 将交易历史视为受信任的来源:用户将自己的交易历史视为可靠的地址簿,却没有意识到任何人都可以通过公共区块链对其进行操纵。
  • 不可逆转性:一旦确认,区块链交易就无法撤销。没有客服可以致电,也没有拒付申请可以提交。

防御指南

保护资产需要个人自律和整个生态系统的改进:

针对个人用户

  • 永远不要从交易历史中复制地址。 始终从原始、经过验证的来源获取地址——保存的联系人、官方网站或与收款人的直接沟通。
  • 验证完整地址。 检查每个字符,而不仅仅是开头和结尾。即使中间有一个字符不同,也意味着是一个完全不同的钱包。
  • 严格使用地址簿。 大多数钱包支持联系人列表或地址白名单。一旦验证了地址,请将其保存,并始终从保存的联系人处发送。
  • 利用 ENS 和区块链域名。 以太坊域名服务 (ENS) 名称(如 yourname.eth)让你完全无需处理原始地址,从而大大降低了复制粘贴风险。
  • 发送测试交易——然后仔细验证。 测试交易是良好的习惯,但如果你第二次复制的是被投毒的地址,测试交易也无法保护你。测试完成后,请通过链外渠道验证收款人是否确认收到。

生态系统层面的解决方案

行业已经开始做出反应,尽管进展并不均衡:

  • Trust Wallet 于 2026 年 3 月在 32 条 EVM 链上推出了自动地址投毒保护,实时扫描每笔外发交易,并与已知的投毒地址进行比对。
  • Ledger Live 现在默认隐藏零值代币转账,在常见的投毒尝试出现在交易历史之前就将其过滤掉。
  • 钱包级警告:一些钱包现在会对发送到与用户历史地址极其相似但不完全匹配的地址的交易进行标记。
  • 清晰签名 (Clear Signing) 倡议要求用户在签名之前,先在硬件钱包屏幕上查看并确认完整的交易详情。

行业仍然需要的改进

尽管有了这些改进,关键的差距仍然存在:

  • 默认开启保护:地址投毒防御应该是每个钱包中默认启用的功能,而不是埋在设置中的可选功能。
  • 完整地址显示:钱包应在确认步骤中显示完整地址,而不是缩写版本。
  • 跨链协作:攻击者越来越多地跨链转移被盗资金(如 Sillytuna 案例所示)。钱包保护从第一天起就应该是多链的。
  • 协议级缓解措施:可以更新 ERC-20 合约以拒绝来自未经授权发送者的零值 transferFrom 调用,从而从协议层面消除成本最低的投毒变体。

残酷的真相

地址投毒暴露了加密货币设计理念中的一个基本矛盾。使区块链强大的相同特性——无需许可、不可篡改、伪匿名——也使其成为社会工程攻击的完美环境。任何人都可以向任何地址发送交易。一旦发送,资金便无法追回。而且地址是为机器设计的,而不是为了人类的记忆。

8,380 万美元的确认损失几乎肯定只是真实成本的一小部分。许多受害者从未意识到自己被投毒了。其他人则因为太尴尬而没有上报。随着以太坊 Fusaka 升级后的费用降低,投毒活动的成本比以往任何时候都低,攻击面正在扩大而非缩小。

在钱包将地址验证视为一级安全考量(而非事后补救)之前,地址投毒将继续从那些在其他方面都做得很正确的用户手中夺走数百万美元。

构建区块链基础设施需要信任应用程序之下的基础。BlockEden.xyz 提供跨多条链的企业级 RPC 和 API 服务,让开发者可以专注于构建安全的用户体验,而不是管理节点基础设施。探索我们的 API 市场以开始使用。

Share on Twitter