據安全公司稱,一名加密交易員遭遇地址投毒攻擊,損失了近 5000 萬鎂的 USDT穩定幣——這是一種相對簡單的騙局,常常讓許多人措手不及。
鏈上分析平臺 Lookonchain報告稱,受害者於 12 月 20 日誤將 49,999,950 USDT 轉入了一個由詐騙者控制的地址。此前,該受害者從幣安提取資金並試圖將其轉入自己的個人錢包。
作為預防措施,受害者首先向目標地址發送了一筆 50 USDT 的測試交易。然而,不久之後,攻擊者編寫的自動腳本製作了一個仿盤的錢包地址,該鏈的開頭和結尾與真實地址非常相似。
具體來說,惡意地址的前5個字符和後4個字符與有效錢包地址相同。唯一的區別在於中間的字符——許多錢包界面為了方便查看,通常會用“...”提取。詐騙者隨後會從這個虛假地址向受害者的錢包發送小額交易,從而“汙染”受害者的交易歷史。當受害者從歷史中複製地址進行近5000萬鎂的大額交易時,他們很可能無意中選擇了仿盤地址。
來自 Etherscan 的數據顯示,測試交易發生在 UTC 時間 3:06,大約 26 分鐘後,即 UTC 時間 3:32,執行了近 5000 萬鎂的錯誤交易。
據慢霧稱,攻擊者迅速處理了竊取的資金。在收到 USDT 後的 30 分鐘內,全部金額通過小狐狸 Swap兌換成了Dai這是蓄意之舉,因為 USDT 如果被 Tether 標記,可能會被凍結,而Dai是一種去中心化的穩定幣,沒有中心化的控制機制。隨後,這些Dai被兌換成了大約 16,690 個姨太,其中約 16,680 個姨太被髮送到了 Tornado Cash——一個此前已獲批准的加密混幣服務——以掩蓋交易。
為了追回資產,受害者向攻擊者發送了一條鏈上消息,承諾如果 98% 的被盜資金被歸還,將提供 100 萬鎂的“白帽賞金”。
受害者在信息中寫道:“我們已官方提起刑事訴訟。在執法機構、網絡安全部門和各種區塊鏈協議的支持下,我們收集了大量信息,並能夠對你的活動採取行動。”
此次事件令人想起2024年5月發生的一起類似事件,當時一位以太坊用戶因地址投毒攻擊損失了價值7100萬鎂的Wapped 比特幣。在那起事件中,受害者在區塊鏈安全公司Match Systems和Cryptex交易所的協助下,通過鏈上協商追回了幾乎所有資金。然而,由於此次事件中的資金迅速轉移到了Tornado Cash,追回的可能性仍然存疑。
文章“加密交易員因錢包地址詐騙損失 5000 萬鎂”最初發表於CoinMoi 。
