今年1月,一名加密货币用户因复制错误的钱包地址而损失了1225万美元。去年12月,另一名用户也因类似原因损失了5000万美元。
据广受欢迎的 Web3 安全解决方案 Scam Sniffer 称,这两起事件共造成 6200 万美元的损失。
加密货币失误
1月份,签名式网络钓鱼攻击也激增。事实上,Scam Sniffer发现,4741名受害者共损失627万美元,比12月份增长了207%。其中最大的两起案件分别涉及通过许可/增加授权从SLVon和XAUt骗取的302万美元,以及通过许可从aEthLBTC骗取的108万美元。
仅两个钱包就占了所有网络钓鱼损失的 65%。
地址投毒是一种诈骗手段,攻击者使用与真实钱包地址极其相似的地址发送小额交易,企图让用户从交易记录中复制错误的地址。这可能导致资金被误转给诈骗者。签名钓鱼进一步增加了风险,它诱骗用户签署恶意授权,从而允许攻击者稍后转移资金。因此,这些手段依赖于社会工程学和人为错误,即使是经验丰富的用户也可能上当受骗。
去年11月,一名加密货币持有者因误将价值超过300万美元的$PYTH代币发送到诈骗者的钱包而损失惨重。这起错误是由于受害者从交易记录中复制了一个虚假的存款地址造成的。
Lookonchain 的区块链分析师表示,攻击者创建了一个与真实钱包地址前四个字符完全相同的仿冒地址,并发送了一笔数额很小的SOL交易,使其看起来像是合法交易。受害者随后在未完全验证该地址的情况下,转入了 700 万枚$PYTH代币,结果遭遇了地址投毒攻击。当时,这笔被转入的代币价值约 308 万美元。
协同多重签名诈骗企图
鉴于此类攻击日益频繁,非托管钱包 Safe(原名Gnosis Safe)也向用户发出警告,提醒他们注意针对多重签名钱包的大规模地址投毒和社会工程攻击活动。据该平台称,攻击者创建了数千个与 Safe 地址外观相似的地址,诱骗用户将资金发送到错误的目的地。Safe 还披露,此次事件并非协议漏洞、基础设施入侵或智能合约漏洞。
Safe 识别出约 5,000 个恶意地址,这些地址现已被标记并从 Safe Wallet 界面中删除,以降低意外资金转移的风险。
