一名加密貨幣交易員遭遇複雜的“地址投毒”攻擊,損失了價值 5000 萬美元的 Tether USDT 。
12 月 20 日,區塊鏈安全公司 Scam Sniffer 報告稱,此次攻擊始於受害者向自己的地址發送了一筆 50 美元的小額測試交易。
地址投毒計劃是如何展開的
值得注意的是,交易者會使用這種標準預防措施來確認他們將資金髮送到了正確的地址。
然而,這一活動引起了攻擊者控制的自動腳本的注意,該腳本立即生成了一個“偽造的”錢包地址。
偽造地址的設計使其在字母數字字符串的開頭和結尾與目標收件人地址完全一致。差異僅出現在中間字符上,因此這種欺詐行為很難一眼識破。
攻擊者隨後從偽造的地址向受害者的錢包發送了數量微不足道的加密貨幣。
該交易實際上將欺詐地址添加到了受害者的近期交易記錄中,而許多錢包界面只會顯示部分地址詳情。
受害者僅憑這種視覺上的簡寫,就從交易記錄中複製了地址,而沒有檢查完整的字符串。因此,這名交易員沒有將資金轉入安全的個人錢包,而是直接將 49,999,950 USDT發送給了攻擊者。
根據鏈上記錄,惡意攻擊者在收到資金後迅速採取行動,以降低資產被凍結的風險。攻擊者立即使用Metamask Swap將竊取的USDT(其發行方可以凍結 USDT)兌換成Dai穩定幣。
攻擊者試圖掩蓋交易痕跡。來源: Slowmist攻擊者隨後將這些資金兌換成了大約 16,680 個ETH。
為了進一步掩蓋交易痕跡,攻擊者將以ETH存入了Tornado Cash 。這種去中心化的混幣服務旨在切斷髮送地址和接收地址之間的可見聯繫。
受害者懸賞100萬美元
為了追回被盜資產,受害者在鏈上發佈了一條消息,懸賞 100 萬美元的白帽賞金,以換取 98% 的被盜資金。
“我們已正式提起刑事訴訟。在執法部門、網絡安全機構和多個區塊鏈協議的協助下,我們已經收集到有關你活動的大量可操作情報,”該消息稱。
該信息警告稱,如果攻擊者在 48 小時內不予配合,受害者將採取“毫不妥協”的法律行動。
“如果你不配合:我們將通過法律和國際執法渠道升級此事。你的身份將被公開,並告知相關部門。我們將不遺餘力地追究刑事和民事責任,直至正義得到伸張。這不是請求,而是給你最後一次機會,避免造成無法挽回的後果。”受害者說道。
該事件凸顯了數字錢包在顯示交易信息方面存在的持續性漏洞,以及攻擊者如何利用用戶行為而非區塊鏈代碼中的缺陷。
安全分析師多次警告,錢包提供商出於可用性和設計原因而對長地址字符串進行縮寫的做法會造成持續的風險。
如果這個問題得不到解決,攻擊者很可能會繼續利用用戶只驗證地址開頭和結尾幾個字符的習慣。
