看似简单、却屡屡得手的地址投毒攻击（Address Poisoning Attack）近来频频发生，日前就有一位加密货币交易员因误入这类陷阱，短短半小时损失近5 千万美元USDT，虽然事后开出100 万美元的「白帽赏金」求攻击者归还资产，但在失窃资产已流入混币平台的情况下，追回希望渺茫。

根据链上数据分析平台Lookonchain追踪，这起事件发生在12 月20 日，受害者当时正从币安（Binance）提领资产，并打算转移到个人钱包。

依照多数大额转帐的安全惯例，受害者先行发送50 枚USDT 作为测试交易，确认地址无误。然而，就在这笔小额转帐完成后，攻击者操控的自动化脚本，立刻生成一个「伪装地址（Spoofed Address）」，且地址前5 码与后4 码，与受害者原本的收款地址完全相同，仅中间字符有所差异。

接着，攻击者刻意使用「伪装地址」向受害者钱包发送数笔小额交易，以便让「毒地址」出现在受害者的交易历史清单中，等到受害者要转移剩下的4,999 万美元时，为了图方便，就直接在交易纪录中点选了这个高度相似的诈骗地址。

由于多数钱包介面为了方便阅读，会将中段字元以「……」省略显示，这使得两组地址在视觉上几乎难以分辨。

区块链浏览器Etherscan 显示，测试转帐发生在UTC 时间3:06，而真正造成巨额损失的转帐，则在约26 分钟后的3:32 发生。

资安业者慢雾科技（SlowMist）指出，这位攻击者是名副其实的「洗钱老手」。在收到近5,000 万美元的USDT 后，仅花不到30 分钟就完成以下步骤：

• 跨币种闪兑：先透过MetaMask Swap 将USDT 换成DAI 。专家分析，这是为了规避Tether 的黑名单冻结机制，因为去中心化稳定币DAI 并没有这种中心化的控制措施。
• 混币匿踪：攻击者随即将DAI 换成约16,690 枚以太币，并其中16,680 枚转入混币器Tornado Cash，彻底切断币流追踪路径。

为了挽回损失，受害者已透过链上讯息，向诈骗者提出条件：愿意支付100 万美元白帽奖金，换取归还98% 的资产。

受害者更明确警告：「我们已正式报案，并在执法部门、资安机构及多个区块链协议的协助下，掌握了大量有关你具体行动的情资。」

这起案件只是今年币圈资安风暴的冰山一角。根据Chainalysis最新报告，2025 年加密货币失窃总额已突破34.1 亿美元，刷新历史纪录。

值得关注的是，Casa 共同创办人Jameson Lopp 警告，「地址投毒」已在各大区块链扩散，光是在比特币网络上就发现超过4.8 万起类似攻击。他强烈呼吁钱包业者应开发「相似地址警告」功能，在用户复制贴上时弹出警示，防止这类人为疏忽导致的悲剧重演。

本文链接地址：https://www.wwsww.cn/hqfx/36059.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。