查尔斯·霍斯金森：你不能在比特币和Cardano上这样诈骗

近期，一起链上诈骗案造成了史上最大的损失之一。地址投毒攻击（一种利用基于帐户的区块链管理交易历史和地址重用机制的欺诈手段）导致一名用户 损失了近5000万美元的USDT。

查尔斯·霍斯金森的评论

查尔斯·霍斯金森认为，在某些架构上，由于其本身对这类错误具有更强的容错能力，因此不会出现这种情况。事情就是这样发生的。

资金从币安转出后不久，受害者的钱包（该钱包已活跃约两年，主要用于USDT转帐）收到了近5,000万美元。用户向预定的收款人发送了一笔简短的测试交易，这在许多人看来是安全的做法。几分钟后，全部金额被转出。第二次转帐使用了错误的地址。

此前，诈骗分子实施了地址投毒攻击，他使用一个伪装成受害者之前使用过的真实地址的钱包，向受害者发送了一小笔USDT 。受害者在复制交易记录地址时，误选了 被投毒的地址，而不是正确的地址。结果，受害者仅凭一次点击就损失了5000万美元。

为什么在这些情况下UTXO更好

虽然被盗的USDT可能会被转移或兑换，但目前仍在目的地地址。

「这就是UTXO如此强大的另一个原因，」霍斯金森在回应这起事件时说。他的说法不无道理。以太坊和许多其他EVM链采用的基于帐户的模型直接导致了这类诈骗。地址在交易历史记录中以自由字串的形式显示，钱包也鼓励用户复制先前的交易记录。而这正是骇客利用的漏洞。

基于UTXO模型的区块链，例如比特币和Cardano，其运作方式有所不同。每笔交易都会产生新的输出，同时也会消耗现有的输出。钱包通常透过明确选择UTXO来建立交易，而不是重复使用帐户端点，使用者也不会像以前那样依赖从帐户历史记录复制目标位址。因此，不存在可以进行视觉污染的持久帐户状态。

这并非协议缺陷或智能合约漏洞，而是设计上的缺陷，它与人性相互作用，不到一小时就造成了5000万美元的损失。