價值五億兀的詐騙：一鍵操作如何將數百萬送給騙子

加密貨幣世界最近見證了一起在區塊鏈網絡中最令人震驚的資金損失事件之一。一位幾乎持有該錢包兩年的用戶遇到了問題。在從某個交易平台提取約5000萬美元的USDT後，他先進行了一次測試轉帳，以檢查流程是否正確。幾分鐘後，他開始進行主要的資金轉移——就在這一刻，一切都出了問題。

“地址中毒”攻擊的剖析

在此之前，騙子已經在暗中監控。它創建了一個與受害者經常使用的地址極為相似的錢包地址。然後，它向這個假地址發送了少量的USDT——足夠讓這筆交易出現在受害者的交易歷史中。

當用戶在錢包中查找之前使用的地址時，會看到這段歷史。區塊鏈地址顯示為冗長且難以辨識的字符序列——很容易在壓力之下將一個地址與另一個混淆。騙子知道這一弱點。受害者複製了這個假地址，確認了交易——幾秒鐘內，近5000萬美元就流入了攻擊者的錢包。一次疏忽，一次點擊，導致了完全的損失。

不同的區塊鏈架構，不同的風險

Cardano網絡的創始人Charles Hoskinson從技術角度分析了這一事件，並得出結論：某些區塊鏈架構比其他架構更能抵抗此類操控。

基於帳戶模型的網絡——包括Ethereum和EVM生態系統——鼓勵用戶重複使用先前的地址。交易歷史是永久的，這意味著錢包會顯示固定的地址。這正是使它們容易受到此類攻擊的原因。

而使用UTXO模型的網絡，如Bitcoin和Cardano，則情況不同。每筆交易都會產生新的輸出，舊的輸出會被消耗。不存在“帳戶餘額”的概念。因而，沒有可“中毒”的持久地址歷史。這種設計本身更具抗攻擊性。

Hoskinson強調了一個重要的細節：這並非協議或智能合約的錯誤，而是設計界面與人類自然行為交互中的問題。

行業對威脅的回應

這一事件沒有被忽視。近幾週，主要的錢包提供商發布了安全更新，特別提醒用戶注意不要從歷史中複製地址。同時，他們也改進了地址驗證界面，以方便用戶在發送資金前進行核實。

這些措施表明，安全責任既在錢包設計者，也在用戶身上。沒有任何協議能做到完美，如果其界面讓騙子更容易得手。