近日,一名加密货币用户因陷入地址投毒骗局,在链上攻击中损失高达5000万美元的USDT稳定币。这起事件由Web3安全公司Web3 Antivirus率先发现,揭示了新型社会工程攻击的破坏性。
据安全报告披露,受害者在转账前曾发送50美元测试交易以确认目标地址。然而数分钟内,诈骗者便利用钱包地址显示缩写机制(通常仅显示首尾字符),精心构造了一个首尾字符完全相同的仿冒地址。
攻击者随后向受害者地址发送微量“粉尘交易”污染其交易历史记录。误以为交易记录中的地址真实有效,受害者通过复制粘贴操作,将49,999,950美元USDT转入了诈骗者控制的地址。
这类粉尘攻击专门针对持有大量资产的地址,通过污染交易历史诱导用户发生复制错误。自动化机器人持续进行广撒网式攻击,本案中终于得逞。
区块链数据显示,被盗资金已被兑换为以太坊并通过多个钱包转移。部分关联地址已与受制裁的混币器Tornado Cash产生交互,试图掩盖资金流向。
事件发生后,受害者在链上发布最后通牒,要求攻击者48小时内归还98%被盗资产。声明中承诺若全额归还,将支付100万美元作为白帽赏金,同时警告将启动国际执法程序追究刑责。
“这是和平解决此事的最后机会,”受害者在链上消息中强调,“若未能在限期内响应:我们将通过国际法律执法渠道升级处理。”
安全专家指出,地址投毒攻击并非利用代码或加密漏洞,而是精准利用用户依赖地址局部匹配、习惯从交易历史复制粘贴的操作弱点。随着此类案件频发,行业正推动地址验证工具和交易确认流程的标准化建设。
