又一起“地址投毒”事件,导致一名用户损失5000万镁。图片来源:Techradar
这次袭击令人震惊。
一名加密货币用户在一次网络钓鱼攻击中,误将资产转移到诈骗者的钱包地址,损失了近5000万镁的USDT 。分析人士认为,这是有史以来规模最大的链上诈骗案之一。
区块链调查人员上周末发现了这起事件。与智能合约攻击或交易所入侵不同,此次事件并非源于复杂的技术漏洞,而是一个看似简单的操作失误,但最终却造成了特别严重的后果。
“投毒攻击”是其中黑客制作一个与受害者钱包地址首尾字符极其相似的虚假地址。当用户在未仔细核对的链下,从交易历史中复制粘贴该地址时,可能会在不知不觉中将资金转入攻击者的钱包。在这种情况下,伪造的地址几乎与受害者熟悉的钱包地址完全一致,肉眼难以识别。
链上分析显示,这并非孤立事件,而是精心策划的结果。在近5000万镁的交易发生之前,攻击者向受害者的钱包发送了一小笔USDT(称为“散币交易”)。其目的是在交易历史中留下一个虚假地址。当受害者进行大额转账并从近期交易列表中选择地址时,他们无意中选择了那个“中毒”地址。
值得注意的是,区块链数据显示,受害者此前曾用少量资金进行过测试交易——这是加密社群常见的安全措施。然而,正是这个习惯被人利用,因为它增强了交易历史中虚假地址的可信度,最终导致了致命的转账。
慢雾指出,攻击者在收到巨额资金后几乎立即采取了行动。大约30分钟内,所有资金通过多层交易被兑换和洗钱。具体来说,5000万USDT通过小狐狸 Swapswap成Dai ,然后进一步兑换成约16690姨太。其中大部分以太坊 ——16680个姨太被迅速存入Tornado Cash,这是一个旨在隐藏区块链资金流动的混币平台。
收到 5000 万 美元 USDT后 30 分钟,诈骗者采取了行动:
— 慢雾 (@SlowMist_Team) 2025年12月20日
• 通过小狐狸 Swap将 5000 万 美元 USDT兑换为Dai
• 将所有Dai兑换成 16,690 $ETH。
• 向 Tornado Cash 存入了 16,680 $ETH。
骗子地址:
0xbaff2f13638c04b10f8119760b2d2ae86b08f8b5… https://t.co/ySGWtg3VIB pic.twitter.com/3BsWndrrJC
“龙卷风现金”的使用表明攻击者的手段十分高明,同时也凸显了监管机构面临的日益严峻的挑战,因为现金流可以在短时间内被掩盖。专家认为,在这种情况下追回资产的可能性极低。
区块链分析师Specter Analyst在X上撰文称,令他“震惊不已”的不仅是损失的规模,还有攻击的性质。地址投毒通常被认为是造成如此巨大损失的可能性最小的风险之一。然而,他指出,这种情况仍然发生了,并强调人为错误和钱包界面设计正成为区块链生态系统中最薄弱的环节。
事件发生后,受害者在区块链上留下了一条直接消息,要求攻击者在 48 小时内归还 98% 的款项,并提出保留 100 万镁作为奖励。
网络犯罪呈显著上涨。
虽然损失近5000万镁令人震惊,但这实际上只是冰山一角,更大的问题远不止于此。根据最新研究,仅在2025年,IP欺骗攻击就可能给整个加密货币生态系统造成高达34亿镁的损失。
超过15.8万个钱包遭到入侵,影响了约8万名不同的受害者。2025年9月是受影响最严重的时期,仅一个月内就发生了32290起疑似攻击事件,涉及多个区块链,影响了6516名用户。
在以太坊和币安智能链上,研究人员追踪到超过2.7亿次地址投毒攻击。其中,此类攻击造成的直接确认损失超过8380万镁,这还不包括媒体关注的重大事件,例如次这起5000万镁的损失。
最新事件也引发了关于加密货币钱包用户体验(UI/UX)设计的激烈讨论。许多专家和以太坊社群成员呼吁平台停止提取钱包地址,而是显示完整的链,以下降混淆的风险。
此次事件发生之背景,针对数字资产市场的网络犯罪也显著上涨。根据Chainalysis的最新统计数据,2025年朝鲜黑客窃取的加密金额将比上一年增长上涨 % 。自2016年以来,这些据信由国家支持的黑客组织窃取的资金总额已达67亿镁。就在几个月前,加密行业还遭遇了历史上规模最大的攻击, Bybit交易所遭受攻击,导致价值高达15亿镁的以太坊及相关代币损失。
Coin68 汇编
