5000万美元不翼而飞:一场精心策划的地址投毒攻击

近日,加密货币领域发生了一起令人震惊的安全事件。一名用户在进行大额USDT转账时,因误将资产发送至高度相似的欺诈地址,导致高达5000万美元的巨额资金落入黑客之手。链上分析师Specter最早披露了这一案件,揭示了“地址投毒”这一并不新鲜却屡屡得手的攻击手法。

攻击全过程复盘:从测试转账到资产转移

根据区块链记录,受害地址(0xcB80784ef74C98A89b6Ab8D96ebE890859600819)最初的行为并无异常。其首先从Binance交易所提取了50枚USDT进行小额测试,这通常是进行大额转账前的标准安全操作。

约10小时后,该地址执行了主要操作,从Binance一次性提出了49,999,950枚USDT。至此,总计5000万枚USDT已安全抵达受害者控制的钱包。

然而,攻击在此刻悄然开始。受害者随后向另一个地址(0xbaf4…95F8b5)转账50 USDT进行另一轮测试。黑客敏锐地捕捉到了这一动向,迅速向该测试交易的接收地址发送了0.005枚USDT。关键在于,黑客使用的地址(0xbaff…08f8b5)与受害者意图转账的地址在开头和结尾字符上极为相似,这正是“地址投毒”的典型特征——通过在用户的交易历史中插入一个相似地址,诱导其后续错误复制。

悲剧在10分钟后发生。当受害者准备转移剩余的巨额USDT时,很可能因疏忽而直接复制了交易记录中最新的、由黑客“投毒”产生的地址,从而将49,999,950枚USDT直接送入了黑客的钱包。

资金流向与应急响应

得手后,黑客迅速启动了洗钱流程。据安全机构慢雾监测,其行动路径如下:

  • 通过MetaMask将USDT兑换为DAI。
  • 使用全部DAI购买约16,690枚以太坊(ETH)。
  • 在预留10枚ETH后,将其余ETH转入隐私混币器Tornado Cash,意图切断资金追踪路径。

案发后,受害者迅速采取行动,在链上公开向黑客喊话,表示已提起刑事诉讼,并在执法部门、网络安全机构及多个区块链协议的协助下掌握了大量情报。受害者提出了一个“赎金”方案:允许黑客保留100万美元(即总额的2%),归还剩余98%的资金,以此换取不再追究的承诺。否则,将动用一切法律手段追究其刑事与民事责任,并公开其身份。截至目前,黑客尚未作出回应。

受害者背景推测与攻击手法溯源

Arkham平台的数据分析显示,受害地址与Binance、Kraken、Cobo等多家主流加密货币托管及交易服务商存在大额资金往来。其中,新加坡持牌交易平台Coinhako的出现,进一步暗示了该地址可能隶属于某个专业机构而非个人用户。其在事发后24小时内迅速协调多方资源进行追踪的能力,也侧面印证了这一推测。

“地址投毒”攻击并非新技术,其根源可追溯至2022年出现的“靓号地址”生成器。这类工具本用于生成定制化开头(如0xeric)的易记地址,但其机制存在的漏洞曾被用于私钥破解。更重要的是,它让黑客意识到可以批量生成与目标用户常用地址高度相似的“毒药地址”。

攻击者会向目标用户的某些关联地址发送极小额的交易,使这个欺诈地址出现在用户的交易历史记录中。他们赌的就是用户在后续操作中因粗心或图省事,不会逐字核对冗长的区块链地址,从而错误选择并转账。

历史记录显示,本次的受害地址在近一年前就已开始被黑客列为“投毒”目标。这正体现了此类攻击的“耐心”特性——它是一种概率游戏,攻击成本极低,只需等待受害者一次疏忽即可获得巨额回报。

行业声音与同类事件警示

针对此事件,F2Pool联合创始人王纯在社交媒体上分享了自身经历以示同情。他透露,自己曾为测试地址安全性而转入500枚比特币,不料因其他安全漏洞损失了490枚。虽然情况不同,但其核心在于提醒行业:任何人在复杂的链上环境中都可能犯错,焦点应放在攻击者而非受害者的疏忽上。

此次5000万美元的损失并非历史最高。2024年5月,曾有用户因类似攻击损失价值超过7000万美元的WBTC,万幸在安全公司Match Systems和交易平台的协助下,通过链上谈判追回了绝大部分资金。然而,本次事件中黑客反应迅速并已使用混币器,资金追回难度极大。

加密货币托管公司Casa的联合创始人兼首席安全官Jameson Lopp早在今年4月就发出警告,指出地址投毒攻击正在激增。数据显示,仅2023年以来,比特币网络上就发生了约4.8万起此类事件。

核心安全建议与防范措施

地址投毒、虚假Telegram群组、钓鱼链接等攻击手段看似“朴素”,却恰恰利用人性中“信任历史记录”和“惧怕麻烦”的弱点。为保护资产安全,用户必须养成以下铁律:

  • 二次核对,一字不差: 每次转账前,务必完整、仔细地核对收款地址的每一个字符,尤其是中间部分(黑客通常只伪造开头和结尾)。
  • 使用地址簿: 对于常用收款地址,在钱包中使用地址簿功能保存其标签,避免每次手动复制。
  • 小额测试: 进行大额转账前,坚持先发送一笔极小额的测试交易,并确认收款方无误后再操作主交易。
  • 警惕历史记录: 不要盲目信任钱包交易历史记录中的地址,它们可能已被“投毒”。
  • 保持更新与教育: 关注行业安全动态,了解不断演变的诈骗手法。

区块链世界是“黑暗森林”,安全永远是第一要务。多花几秒钟核对地址,换来的可能是巨额资产的保全。