查爾斯·霍斯金森：你不能在比特幣和Cardano上這樣詐騙

近期，一起鏈上詐騙案造成了史上最大的損失之一。地址投毒攻擊（一種利用基於帳戶的區塊鏈管理交易歷史和地址重用機制的欺詐手段）導致一名用戶 損失了近5000萬美元的USDT。

查爾斯·霍斯金森的評論

查爾斯·霍斯金森認為，在某些架構上，由於其本身對這類錯誤具有更強的容錯能力，因此不會出現這種情況。事情就是這樣發生的。

資金從幣安轉出後不久，受害者的錢包（該錢包已活躍約兩年，主要用於USDT轉帳）收到了近5,000萬美元。用戶向預定的收款人發送了一筆簡短的測試交易，這在許多人看來是安全的做法。幾分鐘後，全部金額被轉出。第二次轉帳使用了錯誤的地址。

此前，詐騙分子實施了地址投毒攻擊，他使用一個偽裝成受害者之前使用過的真實地址的錢包，向受害者發送了一小筆USDT 。受害者在複製交易記錄地址時，誤選了 被投毒的地址，而不是正確的地址。結果，受害者僅憑一次點擊就損失了5000萬美元。

為什麼在這些情況下UTXO更好

雖然被盜的USDT可能會被轉移或兌換，但目前仍在目的地地址。

「這就是UTXO如此強大的另一個原因，」霍斯金森在回應這起事件時說。他的說法不無道理。以太坊和許多其他EVM鏈採用的基於帳戶的模型直接導致了這類詐騙。地址在交易歷史記錄中以自由字串的形式顯示，錢包也鼓勵用戶複製先前的交易記錄。而這正是駭客利用的漏洞。

基於UTXO模型的區塊鏈，例如比特幣和Cardano，其運作方式有所不同。每筆交易都會產生新的輸出，同時也會消耗現有的輸出。錢包通常透過明確選擇UTXO來建立交易，而不是重複使用帳戶端點，使用者也不會像以前那樣依賴從帳戶歷史記錄複製目標位址。因此，不存在可以進行視覺污染的持久帳戶狀態。

這並非協議缺陷或智能合約漏洞，而是設計上的缺陷，它與人性相互作用，不到一小時就造成了5000萬美元的損失。