一名投资者因遭遇“地址中毒”攻击而损失了5000万美元。究竟发生了什么?又该如何防范此类风险?
投资者在一次攻击中损失数千万美元
分析公司Lookonchain本周报道了一起加密货币投资者遭受巨额损失的事件。受害者原本打算转账5000万美元的USDT,为了测试地址,她先向自己的钱包地址转了50美元的USDT。
首次转账成功后,他便将5000万美元转入了自认为相同的地址……殊不知黑客早已埋下伏笔。该黑客利用“地址中毒”技术窃取了资金。
这种“地址中毒”手法很简单:黑客会创建一个首尾字符与受害者地址相似的地址,并向其发送小额资金。其目的是利用受害者通常不会核对完整地址,而是直接从交易记录中复制地址的习惯。
5000万美元被盗,资金已被洗白
据Lookonchain分析,此案的作案过程如下:
由于许多钱包会用“…”遮盖地址的中间部分以优化用户界面,许多用户通常直接从交易记录中复制地址,且通常只核对首尾字符。
受害者地址旁边的虚假地址
结果:5000万USDC不翼而飞。受害者本想从币安提现,却实际上将资金转入了伪造的地址。
据SlowMist披露的信息显示,骗子随后迅速洗钱。首先通过MetaMask Swap将USDT兑换成DAI,随后将全部资金兑换成ETH。最后,他将这些ETH转入了加密货币混币器Tornado Cash。
与骗子达成的和解提议
结果:USDC的原始持有者在短短几分钟内损失了数千万美元。随后,他在链上发布了一条消息,试图与盗取其加密货币的人达成和解:
我们已正式提起刑事诉讼。在执法部门、网络安全机构及多个区块链协议的协助下,我们已收集到关于你活动的大量实质性且可利用的情报。
他提议让黑客保留100万美元,并归还大部分资金。作为交换,原始持有者承诺不再提起诉讼:
这是您通过友好协商解决此事的最后机会。现要求您在48小时内将98%的被盗资产退还至以下地址。您可保留1,000,000美元作为发现该漏洞的“白帽”奖励。
截至目前,资金尚未归还。这再次提醒我们在转账时必须对复制的地址保持警惕。建议切勿直接从区块链浏览器复制地址,并务必仔细核对完整的地址内容。
