今年1月,一名加密貨幣用戶因複製錯誤的錢包地址而損失了1225萬美元。去年12月,另一名用戶也因類似原因損失了5000萬美元。
據廣受歡迎的 Web3 安全解決方案 Scam Sniffer 稱,這兩起事件共造成 6200 萬美元的損失。
加密貨幣失誤
1月份,簽名式網絡釣魚攻擊也激增。事實上,Scam Sniffer發現,4741名受害者共損失627萬美元,比12月份增長了207%。其中最大的兩起案件分別涉及通過許可/增加授權從SLVon和XAUt騙取的302萬美元,以及通過許可從aEthLBTC騙取的108萬美元。
僅兩個錢包就佔了所有網絡釣魚損失的 65%。
地址投毒是一種詐騙手段,攻擊者使用與真實錢包地址極其相似的地址發送小額交易,企圖讓用戶從交易記錄中複製錯誤的地址。這可能導致資金被誤轉給詐騙者。簽名釣魚進一步增加了風險,它誘騙用戶簽署惡意授權,從而允許攻擊者稍後轉移資金。因此,這些手段依賴於社會工程學和人為錯誤,即使是經驗豐富的用戶也可能上當受騙。
去年11月,一名加密貨幣持有者因誤將價值超過300萬美元的$PYTH代幣發送到詐騙者的錢包而損失慘重。這起錯誤是由於受害者從交易記錄中複製了一個虛假的存款地址造成的。
Lookonchain 的區塊鏈分析師表示,攻擊者創建了一個與真實錢包地址前四個字符完全相同的仿冒地址,併發送了一筆數額很小的SOL交易,使其看起來像是合法交易。受害者隨後在未完全驗證該地址的情況下,轉入了 700 萬枚$PYTH代幣,結果遭遇了地址投毒攻擊。當時,這筆被轉入的代幣價值約 308 萬美元。
協同多重簽名詐騙企圖
鑑於此類攻擊日益頻繁,非託管錢包 Safe(原名Gnosis Safe)也向用戶發出警告,提醒他們注意針對多重簽名錢包的大規模地址投毒和社會工程攻擊活動。據該平臺稱,攻擊者創建了數千個與 Safe 地址外觀相似的地址,誘騙用戶將資金髮送到錯誤的目的地。Safe 還披露,此次事件並非協議漏洞、基礎設施入侵或智能合約漏洞。
Safe 識別出約 5,000 個惡意地址,這些地址現已被標記並從 Safe Wallet 界面中刪除,以降低意外資金轉移的風險。
