一名加密货币交易员遭遇复杂的“地址投毒”攻击,损失了价值 5000 万美元的 Tether USDT 。
12 月 20 日,区块链安全公司 Scam Sniffer 报告称,此次攻击始于受害者向自己的地址发送了一笔 50 美元的小额测试交易。
地址投毒计划是如何展开的
值得注意的是,交易者会使用这种标准预防措施来确认他们将资金发送到了正确的地址。
然而,这一活动引起了攻击者控制的自动脚本的注意,该脚本立即生成了一个“伪造的”钱包地址。
伪造地址的设计使其在字母数字字符串的开头和结尾与目标收件人地址完全一致。差异仅出现在中间字符上,因此这种欺诈行为很难一眼识破。
攻击者随后从伪造的地址向受害者的钱包发送了数量微不足道的加密货币。
该交易实际上将欺诈地址添加到了受害者的近期交易记录中,而许多钱包界面只会显示部分地址详情。
受害者仅凭这种视觉上的简写,就从交易记录中复制了地址,而没有检查完整的字符串。因此,这名交易员没有将资金转入安全的个人钱包,而是直接将 49,999,950 USDT发送给了攻击者。
根据链上记录,恶意攻击者在收到资金后迅速采取行动,以降低资产被冻结的风险。攻击者立即使用Metamask Swap将窃取的USDT(其发行方可以冻结 USDT)兑换成Dai稳定币。
攻击者试图掩盖交易痕迹。来源: Slowmist攻击者随后将这些资金兑换成了大约 16,680 个ETH。
为了进一步掩盖交易痕迹,攻击者将以ETH存入了Tornado Cash 。这种去中心化的混币服务旨在切断发送地址和接收地址之间的可见联系。
受害者悬赏100万美元
为了追回被盗资产,受害者在链上发布了一条消息,悬赏 100 万美元的白帽赏金,以换取 98% 的被盗资金。
“我们已正式提起刑事诉讼。在执法部门、网络安全机构和多个区块链协议的协助下,我们已经收集到有关你活动的大量可操作情报,”该消息称。
该信息警告称,如果攻击者在 48 小时内不予配合,受害者将采取“毫不妥协”的法律行动。
“如果你不配合:我们将通过法律和国际执法渠道升级此事。你的身份将被公开,并告知相关部门。我们将不遗余力地追究刑事和民事责任,直至正义得到伸张。这不是请求,而是给你最后一次机会,避免造成无法挽回的后果。”受害者说道。
该事件凸显了数字钱包在显示交易信息方面存在的持续性漏洞,以及攻击者如何利用用户行为而非区块链代码中的缺陷。
安全分析师多次警告,钱包提供商出于可用性和设计原因而对长地址字符串进行缩写的做法会造成持续的风险。
如果这个问题得不到解决,攻击者很可能会继续利用用户只验证地址开头和结尾几个字符的习惯。
