看似簡單、卻屢屢得手的「地址投毒攻擊(Address Poisoning Attack)」近來頻頻發生,日前就有一位加密貨幣交易員因誤入這類陷阱,短短半小時損失近 5 千萬美元 USDT,雖然事後開出 100 萬美元的「白帽賞金」求攻擊者歸還資產,但在失竊資產已流入混幣平台的情況下,追回希望渺茫。
根據鏈上數據分析平台 Lookonchain 追蹤,這起事件發生在 12 月 20 日,受害者當時正從幣安(Binance)提領資產,並打算轉移到個人錢包。
A victim (0xcB80) lost $50M due to a copy-paste address mistake.
Before transferring 50M $USDT, the victim sent 50 $USDT as a test to his own address 0xbaf4b1aF…B6495F8b5.
The scammer immediately spoofed a wallet with the same first and last 4 characters and performed an… pic.twitter.com/eGEx2oHiwA
— Lookonchain (@lookonchain) December 20, 2025
依照多數大額轉帳的安全慣例,受害者先行發送 50 枚 USDT 作為測試交易,確認地址無誤。然而,就在這筆小額轉帳完成後,攻擊者操控的自動化腳本,立刻生成一個「偽裝地址(Spoofed Address)」,且地址前 5 碼與後 4 碼,與受害者原本的收款地址完全相同,僅中間字符有所差異。
接著,攻擊者刻意使用「偽裝地址」向受害者錢包發送數筆小額交易,以便讓「毒地址」出現在受害者的交易歷史清單中,等到受害者要轉移剩下的 4,999 萬美元時,為了圖方便,就直接在交易紀錄中點選了這個高度相似的詐騙地址。
由於多數錢包介面為了方便閱讀,會將中段字元以「……」省略顯示,這使得兩組地址在視覺上幾乎難以分辨。
區塊鏈瀏覽器 Etherscan 顯示,測試轉帳發生在 UTC 時間 3:06,而真正造成鉅額損失的轉帳,則在約 26 分鐘後的 3:32 發生。
資安業者慢霧科技(SlowMist) 指出,這位攻擊者是名副其實的「洗錢老手」。在收到近 5,000 萬美元的 USDT 後,僅花不到 30 分鐘就完成以下步驟:
- 跨幣種閃兌: 先透過 MetaMask Swap 將 USDT 換成 DAI 。專家分析,這是為了規避 Tether 的黑名單凍結機制,因為去中心化穩定幣 DAI 並沒有這種中心化的控制措施。
- 混幣匿蹤: 攻擊者隨即將 DAI 換成約 16,690 枚以太幣,並其中 16,680 枚轉入混幣器 Tornado Cash,徹底切斷幣流追蹤路徑。
為了挽回損失,受害者已透過鏈上訊息,向詐騙者提出條件:願意支付 100 萬美元白帽獎金,換取歸還 98% 的資產。
受害者更明確警告:「我們已正式報案,並在執法部門、資安機構及多個區塊鏈協議的協助下,掌握了大量有關你具體行動的情資。」
這起案件只是今年幣圈資安風暴的冰山一角。根據 Chainalysis 最新報告,2025 年加密貨幣失竊總額已突破 34.1 億美元,刷新歷史紀錄。
值得關注的是,Casa 共同創辦人 Jameson Lopp 警告,「地址投毒」已在各大區塊鏈擴散,光是在比特幣網絡上就發現超過 4.8 萬起類似攻擊。他強烈呼籲錢包業者應開發「相似地址警告」功能,在用戶複製貼上時彈出警示,防止這類人為疏忽導致的悲劇重演。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
